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FAFA: 
感谢 您 报名 参加 LinuxProbe.com Æ R0, MAIE 2679 6,4578 WoSE, FE] KRIAS HE, KTA 
根据 自身 情况 来 选择 最 合适 的 班 型 ， 我 们 的 培训 采用 在 线 培训 的 方式 ， 如 果 您 因 故 不 能 参加 某 天 的 
培训 ， 请 不 要 着 急 ， 我 们 已 经 为 您 录制 好 了 当期 的 培训 视频 ， 直 接 联系 讲师 或 在 内 部 资料 区 下 载 即 
可 ， 我 们 竭诚 为 您 提供 最 高 质量 的 Linux 在 线 培训 课程 ， 珍 惜 您 对 我 们 的 信任 ， 本 教材 内 含 大 量 的 
空白 页 ， 并 附 赠 一 只 黑 笔 ， 一 只 蓝 笔 及 一 只 红 笔 ， 方 便 您 随 着 上 课 写 好 笔记 ， 另 外 如 果 学 习 中 有 任 
何 的 建议 都 请 直接 告诉 我 们 ， 我 们 超 爱 您 的 建议 ! 
刘 递 


您 的 终身 职业 顾问 及 技术 导师 
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第 0 章 让 我 们 谈 谈 学 习 方 法 和 红 帆 系统 。 


章节 简 述 : 

Hello World! 全 书 的 开篇 讲述 作者 学 习 红 帽 Linux 系统 的 经 验 以 及 写 书 过 程 的 感悟 , 分 析 学 习 Linux 的 目地 与 意义 。 
开源 精神 是 种 让 每 个 从 事 Linux 行业 的 技术 人 从 骨子里 自豪 的 情怀 ， 开 源 产 品 的 兴盛 受益 于 开源 社区 强健 的 根基 。 
优秀 的 Linux 运 维 师 能 够 让 用 户 真切 体会 到 Linux 系统 带 来 的 高 可 用 、 高 性 能 与 安全 稳定 。 


0.1 本 书 作者 简介 


本 书 作 者 刘 雍 从 事 于 linux 运 维 技术 行业 ， 较 早 时 因 兴 趣 的 驱使 接触 到 了 Linux 系统 并 开始 学 习 ， 已 在 2012 年 考 下 
红 由 工程师 RHCE 6, 今年 又 分 别 考 下 RHCE_7 版 本 与 红 帆 架构 师 认 证 RHCA， 深 知 水 平 有 限 且 技术 一 般 ， 若 没有 得 

益 于 良师益友 的 无 私 帮助 ， 肯 定 不 能 如 此 顺利 的 完成 Linux 学 业 ， 同 样 作为 一 名 普通 的 技术 人 ， 我 亲身 经 历 过 半夜 还 
在 培训 班 的 心酸 ， 体 验 过 拥堵 6 小 时 车 程 的 无 奈 ， 所 以 为 了 能 够 帮助 读者 们 快速 入 门 Linux 系统 ， 此 刻 我 正 怀揣 着 
一 颗 志 下 的 心 ， 竭 尽 全 身心 的 斗志 将 书 编写 的 更 好 。 

本 书 于 2015 年 的 春节 前 夕 起 笔 ， 预 计 年 末 截 稿 〈 初 版 ) 一 一 为 了 保证 每 篇 文章 的 质量 所 以 很 可 能 会 写 不 完 ， 才 与 诚 
合 ， 然 后 事 可 成 ， 怪 才 而 败 。 我 将 付出 不 亚 于 任何 人 的 努力 ， 与 可 爱 的 读者 们 一 起 编号、 完善 这 本 书籍 ， 带 领 大 家 从 
“0” 基 础 开始 学 习 linux 系统 ， 配 以 大 量 Linux 相关 实验 逐步 掌握 运 维 之 道 ， 本 书 内 含 配套 教学 图 片 与 视频 ， 达 到 
增强 学 员 兴 趣 与 加 深 记 忆 的 作用 ， 当 然 都 是 免费 的 ,主动 抛弃 不 实用 的 部 分 ,将 重点 反复 实践 ， 所 以 尤其 适合 希望 尽 
快 掌握 Linux 系统 的 人 群 。 


我 无 意 回避 这 个 问题 一 一 学 习 本 是 件 痛 和 否 的 事情 ， 如 果 学 习 
Linux 真 的 很 简单 ， 那 么 必 是 骗子 说 的 说 话 ， 起 码 这 将 不 能 给 
你 带 来 高 新 ， 打开 电脑 后 的 沉思 ,是 该 聊 会 天 那 ~ 还 是 追 个 美剧 
那 ~ 还 是 打 盘 LOL 那 ~ 还 是 看 看 那 该 死 的 刘 遗 写 的 那 本 可 怕 
Linux 教材 时 ， 请 不 要 筷 记 自己 最 初 的 梦想 ， 十 年 后 你 会 感谢 
此 时 正在 努力 学 习 的 自己 。 我 身 为 作者 的 使 命 就 是 一 定 要 对 得 
起 您 花费 的 时 间 、 精 力 、 金 钱 ， 让 和 您 每 学 完 一 个 章节 都 是 一 次 
进步 ， 读 完 稻 万 和夫 先生 的 活 法 后 发 现 “ 我 们 也 可 以 从 学 习 
中 获得 快乐 ”。 

“工作 马马虎虎 ， 只 想 在 兴趣 和 游戏 中 寻 苋 快活 ， 
获得 一 时 的 快感 ， 绝 不 能 尝 到 从 心底 涌 出 的 惊喜 和 快乐， 但 来 
自 工作 a 而 是 
需要 从 音 劳 与 艰辛 中 渗 出 ， 因 此 当 我 们 聚精会神 ， 孜 孜 不 傍 ， 
克服 艰辛 后 的 成 就 感 ， 世 上 没有 郧 种 喜悦 可 以 类 比 

“更 何况 人 类 生活 中 工作 占据 了 较 大 的 比重 ， 如 果 不 能 从 劳动 
中 、 工 作 中 获得 充实 感 ， 那 么 即使 从 别 的 地 方 找到 快乐 ， 最 终 
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我 们 仍然 会 感到 空虚 和 缺憾 。 


0.3 开源 共享 精神 


坦白 来 讲 ， 每 个 从 事 Linux 行业 的 技术 人 都 从 骨子里 有 一 种 独特 的 情怀 ， 听 到 开源 产品 的 兴起 就 会 由 圳 的 自豪 ,开源 
企业 不 单纯 为 了 利益 ， 而 是 互相 扶持 ， 让 开源 软件 越 来 越 完善 ， 根 基 越 来 越 强大 ， 开 源 社 区 越 来 越 有 人 气 ， 开 源 软 件 
简单 来 说 就 是 可 以 不 受 限 制 的 使 用 某 个 软件 并 且 随 意 修改 ， 甚 至 修改 成 自己 的 产品 再 发 布 出 去 。 所 以 开源 软件 一 般 
会 将 软件 程序 与 源 代码 一 起 提供 给 用 户 ， 最 热门 的 六 种 开源 许可 证 包括 ; 


Mur ERR. 
EETU 






每 二 不 修改 过 的 文 






ATARI s. : 
是 否 可 以 用 你 的 名 ， 





开源 软件 的 特性 :“ 使 用 自由 ”，“ 修 改 自由 ”，“ 重 新 发 布 自由 ”， “创建 衍生 总 自由 。 


0.4 为 什么 要 学 Linux? 


Linux 操作 系统 最 初 是 在 1991 年 10 月 份 由 芬兰 赫尔辛基 大 学 的 在 校生 Linus Torvalds 所 发 布 , 最 初 被 发 布 的 LINUX 
Mtn 高 质量 的 代码 与 开放 源 代码 ， 迅 速 引起 了 一 大 批 黑 客 的 加 入 ， 而 今 虽然 有 数 百 计 的 Linux 发 布 版 ， 但 
都 依然 统一 使 用 Linus Torvalds 开发 /维护 的 系统 内 核 ，Linux 是 具 

pies Unix 的 程序 界面 与 操作 方法 且 继 承 了 其 稳定 性 ( 通 — 
年 都 不 会 宕 机 )。 

大 多 数 读 者 开始 了 解 计算 机 和 网络 都 是 从 “Windows™” ”开始 的 
吧 ， 肯 定 已 经 习惯 了 盖 芒 系统 而 且 觉 得 足以 应 付 日 党 工作 啦 。 虽然 
盖 沪 系统 确实 很 优秀 但 同时 也 是 用 己 对 安全 性 、 高 可 用 与 高 性 能 的 
大 大 牺牲 ， 因 为 你 一 定 见 过 右面 的 图 片 。 

所 以 读者 是 否 考虑 过 为 何 需要 长 期 稳定 运行 的 网 站 服务 器 、 处 理 大 
数据 的 集群 系统 或 者 需要 协同 工作 的 环境 大 多 采用 Linux 系统 呢 ? 














0.5 热门 的 开源 系统 








VN NON 


Linux P Kwindows 
稳定 且 有 效率 
免费 或 少许 费用 
漏洞 少 且 快 速 修补 
多 任务 多 用 户 

更 加 安全 的 用 户 及 文件 权限 策略 
适合 小 内 核 程 序 的 嵌入 系统 
相对 不 耗资 源 


mm 
Linux -Windows 


Linux 的 优势 读者 可 先 作 了 解 暂 不 需 深究 ， 学 习 中 再 慢 慢 感受 。 


2r H4 Nr Z5 (RedHatEnterpriseLinux, RHEL.) 
全 球 最 大 的 开源 技术 厂商 ， 全 世界 内 使 用 最 广泛 的 Linux 发 布 套件 ， 
提供 性 能 与 稳定 性 极 强 的 Linux 套件 系统 并 拥有 完善 的 全 球技 术 支 持 。 


社区 企业 操作 系统 (Centos) 
最 初 是 将 红 帆 企业 系统 “重新 编译 /发 布 ” 给 用 户 免费 使 用 而 广泛 使 用 ， 
当前 已 正式 加 入 红 帆 公司 并 继续 保持 免费 E RHEL 更 新 而 更 新 )。 


红 帆 用 户 桌面 版 (Fedora [LinuxD 
最 初 由 红 帆 公司 发 起 的 桌面 版 系统 套件 (目前 已 经 不 限于 桌面 版 )， 
用 户 可 免费 体验 到 最 新 的 技术 或 工具 ， 而 功能 成 熟 后 加 入 到 RHEL 中 。 


国际 化 组 织 的 开源 操作 系统 (Debian) 
提供 超过 37500 种 不 同 的 自由 软件 且 拥 有 很 高 的 认可 度 ， 
对 于 各 类 内 核 架 构 支 持 性 良好 ， 稳 定性 、 安 全 性 强 更 有 免费 的 技术 支持 。 
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基于 Debian 的 桌面 版 (Ubuntu) 
Ubuntu 是 一 款 基 于 Debian 派生 的 产品 ， 对 新 款 硬件 具有 极 强 的 兼容 能 力 。 
普遍 认为 Ubuntu 与 Fedora 都 是 极其 出 色 的 LINUX XE M A Ze 





0.6 认识 红 帽 认 证 


Linux 系统 有 上 百 个 不 同 的 组 织 、 公 司 、 机 构 研 发 并 发 布 出 不 同 的 版 本 ， 其 中 红 帆 公司 作为 一 家 成 熟 的 操作 系统 厂 
商 提供 可 靠 的 Linux 系统 和 完善 的 求援 服务 ， 红 帽 企业 linux 系统 (RedHat Enterprise Linux, RHEL) 的 市 场 占 有 量 
极 大 ， 认 可 度 也 非常 高 。 

红 帽 公司 推出 了 阶梯 式 的 认证 体系 也 确实 能 够 帮助 读者 检查 自己 的 能 力 : 















m RHN -RHCA W ZEER -(RHCSS) 

* 在 Linux 和 开源 方面 的 技术 和 架 * 红 帆 最 新 推出 的 安全 进 阶 认证 New, 
ISTEAH advanced-level security certification - 

害 从 数据 中 心 到 终端 息 面 的 Linux 汶 满 足 企业 环境 下 的 实 全 要 求 进 行 

系统 的 设计 、 计 划 ， 部 署 及 全 面 配置 红 由 企业 版 Linux 和 红 巾 目录 


管理 











m 工程师 —RHCE 
* 安装 和 配置 Linux 服务 器 ,网 络 
设备 ,网 络 安全 ,实际 问题 的 诊断 
和 解决 


同 于 大 家 的 了 解 ， 本 书 《Linux 就 该 这 么 学 》 就 是 由 一 批 中 国 的 红 帆 架构 师 所 编写 。 
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本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 1 章 部 署 虚拟 环境 安装 linux 系统 。 


章节 简 述 : 
本 章节 带领 读者 从 0 基础 了 解 庶 拟 机 与 红 帆 系统， 完整 的 演示 了 在 VM 与 KVM 中 安装 红 帽 RHEL7 系统 的 方法 。 
特别 增加 了 超级 实用 的 Linux 系统 找 回 root 密码 、 虚 拟 机 功能 增强 包 、VNC 远程 控制 服务 等 相关 的 技术 知识 点 。 
简单 了 解 守护 进程 即 可 ， 对 了 ! 在 安装 RPM 软件 包 或 配置 YUM 软件 仓库 时 请 格外 注意 参数 细节 哦 ~ 





1.1 准备 您 的 工具 


所 谓 工 欲 善 其 事 必 先 利 其 器 ， 在 本 书 第 一 章 需 要 读者 们 搭建 出 为 课 后 练习 实验 所 使 用 的 红 帽 RHEL7 系统 环境 ， 读 者 
不 需要 为 了 课程 实验 而 单独 购买 一 台新 电脑 ， 下 面 的 小 节 中 会 教 给 您 如 何 通过 “虚拟 机 ”来 模拟 出 “仿真 系统 ”， 
虚拟 机 是 能 够 让 用 户 在 一 台 真 机 上 模拟 出 多 台 操 作 系 统 的 软件 ， 一 般 来 讲 当 前 主流 的 硬件 配置 都 是 没 问题 的 。 
强烈 建议 读者 采用 与 本 书 一 致 的 虚拟 机 软件 与 RHEL7 镜像 系统 ， 否 则 可 能 会 导致 实验 失败 1 

软件 资源 请 在 这 里 下 载 :http://www linuxprobe.com/tools/ 
VmwareWorkStation 11.0 一 一 虚拟 机 软件 (必需 ): 

功能 强大 的 桌面 虚拟 计算 机 软件 ， 能 够 让 用 户 在 单一 主机 同时 运行 多 个 不 同 的 操作 系统 。 

则 时 支持 实时 快照， 虚拟 网 络 ， 拖 搜 文件 以 及 PXE 等 强悍 功能 。 
RedHatEnterpriseLinux [RHEL]7.0 一 一 红 帆 操作 系统 (必需 ): 

由 开源 软件 及 全 球 服务 性 系统 开发 商 红 帽 公司 出 品 ， 最 稳定 出 色 的 Linux 操作 系统 。 
说 来 真 的 很 郁 头 、 其 实 我 在 高 中 时 就 有 学 习 Linux 系统 的 冲动 ， 那 时 上 网 还 不 便捷 ， 所 以 安装 系统 都 需要 去 买 光 盘 ， 
而 那 时 的 linux 系统 至 少 需要 6 张 光盘 (CD-Rom 容量 为 700M)， 尝 试 安装 了 几 次 却 一 直 报错 ， 搞 不 懂 只 能 放弃 了 ， 
今年 春节 收拾 屋子 翻 出 了 这 些 光盘 ， 再 次 安装 时 找到 了 错误 的 原因 ， 原来 是 第 五 张 光盘 被 “ 刊 花 、 了 ， 导 致 依赖 的 软 
件 包 无 法 安装 ， 真 的 是 很 无 语 、 很 邦 头 ， 原 本 可 以 早 几 年 就 开始 学 Linux 系统 了 ， 所 以 这 里 提示 读者 : “准备 齐 工具 
后 一 定 要 校 验 完整 性 ”。 
Hash1.0.4 一 一 文件 校 验 工具 GEF): 

经 典 实用 的 功能 且 便 捷 的 支持 文件 拖 搜 查询 ， 确 保 文 件 的 完整 与 安全 性 ， 只 需 选 中 文件 或 直接 拖 搜 进去 ， 确 保 

你 在 Hash 界面 上 看 得 到 MD5 与 SHA1 值 与 软件 资源 库 提 供 的 一 致 再 使 用 。 





1.2 安装 配置 虚拟 机 


Vmware WorkStation 是 一 款 桌 面 计算 机 虚拟 软件 ， 能 够 让 用 户 在 单一 主机 上 同时 运行 多 个 不 同 的 操作 系统 。 每 个 
虚拟 操作 系统 的 硬盘 分 区 、 数 据 配 置 都 是 独立 的 ， 同 时 又 可 以 将 多 人 台 虚 拟 机 构建 为 一 个 局 域 网 。 更 何况 Linux 系统 要 
求 的 系统 资源 很 低 ， 所 以 读者 们 真 的 没有 必要 再 买 一 台电 脑 ， 课 程 实验 完全 可 以 用 虚拟 机 搞定 ， 而 且 VM 还 支持 实 
时 快照 、 虚 拟 网 络 、 拖 搜 文 件 以 及 PXE 等 方便 实用 功能 。 

执行 虚拟 机 软件 安装 向 时 
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第 1 步 :运行 虚拟 机 软件 。 第 2 步 :接受 软件 的 许可 。 


VMware Workstation £z? VMware Workstation $23 





IM ET Lh ML" 


VMware Workstation $258 


V 


VMWARE 


WORKSTATION 


1i 


目标 文件 夫 
单 击 “ 下 一 步 ” 安 装 到 此 文件 来 ， 或 单 击 “ 更 改 ”安装 到 其 他 文件 来 。 


将 VMware Workstation 安装 到 |; 
C: Program Files (x86)WMwareWMware Workstation 


正在 加 载 : vmwareworkstation.msi 


Copyright * 1958-2014 VMware, Inc. All rights reserved. This product is protected by U.S. and Intemational copyright and 
Intellectual property laws. VMware products are covered by one oc mare patents listed at httpi//www.vmware.cam/go/patents. 


< E—2(8) 取消 
第 3 步 :选择 典型 安装 。 





第 5 步 :自动 检查 新 版 。 第 6 步 :帮助 改进 虚拟 机 软件 。 


VMware Workstation 258 | VMware Works atic zm 


用 户 体 验 改 进 计划 
您 是 百 愿 意 | VMware E3Ef2 in? 


"VMware Workstation S3 


已 准备 好 执行 请 求 的 操作 


软件 更 新 
您 希望 何 时 检查 软件 更 新 ? 


[v] 启动 时 检查 产品 更 新 从 ) 
VMware Workstation 启动 有 时， 检查 应 用 程序 和 已 安装 的 软件 组 件 是 否 有 新 版 本 。 


单 击 “继续” 开始 此 进程 。 


如 果 要 查看 或 更 改 任意 安装 设置 ， 请 单 击 “ 上 一 步 ”。 单 击 “ 取 消 ”可 退出 向 导 。 











快捷 方式 第 T 步 :在 桌面 上 创建 图 标 (快捷 方式 )。 
选择 您 要 放 入 系统 的 快捷 方式 。 第 8 步 :不 错 一 切 都 准备 就 绪 了 。 


在 以 下 位 置 创建 VMware Workstation 的 快捷 方式 。 
[v] 桌面 (0) 


[v] 开始 菜单 程序 文件 来 全 
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第 9 步 :正常 安装 中 。 第 10 步 :请 填写 密 钥 或 直接 跳 过 。 


VMware Workstation : 










用 输入 此 信息 。 







安装 问号 元 






安装 向 导 已 成 功 完成 与 VMware Workstation 相关 的 操作 。 单 
击 “完成 ”退出 向 导 。 






VMWARE 


WORKSTATION 





di (S) 


第 11 步 :安装 顺利 完成 ,Good Job! 


模拟 出 用 于 安装 RHEL7 红 帽 操作 系统 的 硬件 配置 。 
第 1 步 : 运行 "Vmware WorkStation"， 看 到 主页 面 。 第 2 步 : 创建 新 的 虚拟 机 。 





Workstation * A | eS LI 





" x | w 我 的 计算 机 x | 
Q ENDASSE. v| E 
E BB F- 


4M DVD RW 3Ezhes (E:) 


RREFERA (i0 (M): 


DA 4 Limuogipias Z5? 9 e 18 RHEL-server-7,0-x86 644 ~ 








ARRENE -ATAR 





[«r-sm [r-500»]| ma 





《Linux WIZ IXA =) 





VMWARE 
-" 
EDERE 


Workstation + | 


— ÁO a 








* | 

| a muse iia)? 

l 一 m- 
& "- > ]| — dnurRE E (ES— 1651 HENNE h o 这些 文件 最 初 委 
P RENE Jo MESRA ER REETA - 






Bie) (BY): 200 :| 
轩 对 Red Hat Enterprise Linux 7 64 tz 的 建议 大 小 : 20 GB 







= 1 





D Pli AARAA) 







9 Tedehiidt aen S1 Sr PRCM) 
roues. BiU metit V iBsihde iu. Ber ese ROC MIRA 









Dim" s EM 





| ainte) 
O Novel NetWare(E) 
O VMware ESX(X) 

已 其 他 [D) 


BE) 













[et-s] |T-&Q0»]| MA J 











8 步 : 完成 向 奸 后 请 点 击 “ 自 定义 硬件 。 


第 9 步 : 选择 “设置 光驱 ”"， 选 择 到 RHEL7 镜像 。 


im 





设备 RE 


L TI 2GB EHEC) 
MEER i4. Bimi) 
cma - - 2 
DO PAWDE): 
Bzhtz nl 


9 快 用 ISO BREM): 


D cunami B 。 [ja 了] 


L RV)... 





A) | | CNN 








parang- 
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第 3 X: 新 建 虚拟 机 向 导 一 一 典型 
第 4 步 : 选择 稍 后 安装 操作 系统 。 
第 5 步 : 定义 版 本 为 "Red Hat Enterprise Linux 7 64 位 "。 
第 6 步 : 设置 虚拟 机 名 称 与 安装 路 径 。 


(推荐 )。 


第 7 步 :设置 磁盘 为 20GB 即 可 (足够 了 )。 第 








杂 巾 企业 掀 RHEL7_Xx86_64 


DRE MIRHENSRHEL7 x86 64 


EX IDE Toe a rx 





第 10 步 :选择 设置 网 络 适 配 融 M ” 仅 主 机 模式 。 





] aus 
BER) 
F 启动 时 连 撤 {O) 


KHERI): ARENIE 
REHE de DC) 
E NAT (5C): 用 于 共享 主机 的 TP 地 址 
€ mxuastiHy: 与 主机 共享 的 专用 网 当 
^^ SEXU): de ERR 
X. [vmneto (Elf) 
EB): 





[LAN EB). | BB). | 





BiAA)... | 








A^ 
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uu 

















weg 


已 准备 好 创建 虚报 机 
RERA MERUN. ASURA Red Hat Enterprise Linux 7 64 fize 






- 3 的 
Re HATIR RE OB ERAN 
S n^ 
ee 红 幅 企业 版 RHEL7_x86_64 
位 置 : D: e M EE VTORIEFÉRRHEL7 x86 64 
版 本 : Workstaton 11.0 
BERR: Red Hat Enterprise Linux 7 64 位 








: 20 GB, 拆 分 
内 存 : 2048 MB 

Pec: RENAE 
CD/DVD, USB 控制 器 , 打印 机 , M-E 


第 11 步 :全 部 设置 完成 ,请 点 击 完成 。 


B 


—————— — À 1.2 VM XX RHEL7 系统 





通过 上 面 小 节 已 经 将 虚拟 机 配置 完毕 ， 现 在 正式 安装 红 帽 RHEL7 系统 啦 。 
第 1 步 :启动 RHEL7 的 主机 电源 。 


key to begin the installation process. 


Install Red Hat Enterprise Linux 7.8 


| t hi edia E. Stal Red Ha bnterp 


Ou lf hoot 





第 23g EE. 
第 3 步 :等 待 即 可 。 第 4 步 :选择 安装 系统 时 的 语言 。 


INSTALLATION SUMMARY NTERPRISE LINUX 7.0 INSTALLATION 








RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


Eus 


EMI eee WELCOME TO RED HAT ENTERPRISE LINUX 7.0. 


Americas/New York zon English (US) 
What language would you like to use during the installation process? 


LANGUAGE SUPPORT 


English (United States) 


INSTALLATION DESTINATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
nm 


Jevice Selection 


SOFTWARE 


INSTALLATION SOURCE SOFTWARE SELECTION Select the device(s) you'd like to install to. They will be left untouched until you click on the main menu's 
"Begin Installation" button 


Locali media Server with GUI 


Local Standard Disks 


SYSTEM | 
20.48 GB 
INSTALLATION DESTINATION NETWORK & HOSTNAME -© 
A Automatic partitioning selected Not connected 
i VMware, VMware Virtual S 
sda 969 23 KB free 


Specialized & Network Disks 





Add a disk... 


第 5 步 :配置 信息 界面 , 散 击 “Installation Destination”. 
Jther Storage Options 
第 6 步 : 进 入 后 选择 硬盘 并 点 击 左 上 角 “Done 。 in, f 


e Automatically « igure parttionimq v nfhiqure partitionmin 


Full disk summary and bootloader d elected: 20.48 GB capacity: 969 23 kB free 
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SOFTWARE SELECTION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


- 


Add-Ons for Selected Environment 





Base Environment 


Minimal Install Backup Server 
Basic functionality Software to centralize your infrastructure's 


Infrastructure Server backups 


Server for operating network infrastructure services DNS Name Server 
This package group allows you to run a DNS name 
server (BIND) on the system 


File and Print Server 
File, print, and storage server for enterprises Directory Server 


Machne and user identity servers 


Basic Web Server E-mail Server 


第 7 步 :返回 主页 面 后 再 
Selection” JEt "Server 


Server for serving static and dynamic internet content Allows the system to act as a SMTP and/or IMAP e 


mail serve 
FTP Server 


Allows the system to act as an FTP server 


Virtualization Host 


Minimal virtualization host 


Server wRh GUI 


Server for operating network infrastructure services, 
with a GUI. CIFS, SMB, NFS, iSCSI, iSER, and ISNS network 


Fle and Storage Server 





storage server 


Hardware Monitoring Utilities 


A set of tools to monitor server hardware 


NETWORK & HOSTNAME 


RED HAT ENTE 


-= 


Ethernet (ero 16777736) "a 
n EERS idu | $ | Ethernet (eno16777736) OFF 


intal Conseratien PROF1000 MT Singla Port Adapter j^ 


a9 Disconnected 


Hardwere Address OQ OC: 29- 36:06:F7 








Speed 1000 Mb/s 


m Conhqure 


Hostname. CMPT TEE 


入 所 
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点 击 “Software 
With GUI', 


第 8 步 :返回 主页 面 后 再 点 击 "Network & Hostname" 后 设置 主机 名 "linuxprobe.com"。 


第 9 步 :一 切 就 绪 后 返回 主页 面 并 点 击 “Begin Installation". 









CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION CONFIGURATION 


Eus 


USER SETTINGS 


G=] ROOT PASSWORD 
Root password is set 


USER SETTINGS 


ROOT PASSWORD 
A Root password is not set 


USER CREATION 
A No user will be created 


t. Creating lvmpy on /dev/sc 


CONFIGURATION 
ROOT PASSWORD RED HAT ENTER SE LINUX 7.0 INSTALL 


The root account is used for adminssterig the system. Enter a password for the root user 
t Password: e*eeeee 
Weak 


Confirm EEEE T 





Complete 


and reboot to start using it! 








第 10 步 :点 击 “Root Password” 


RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
Eus 


USER CREATION 


No user will be created 


RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
E3us 


Red Hat Enterprise Linux rs now successfully installed on your system and ready for you to use! Go ahead 


Reboot 
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第 11 步 :设置 Root 用 户 的 密码 (简单 密码 请 双击 Done) 第 12 步 :等 待 安装 完成 后 点 击 “Reboot” 。 





LOCALIZATION 


LICENSE INFORMATION 
License not «cebred 


USER SETTINGS 


USER CREATION 


and permit 





第 13 步 :重启 后 选择 “License Instormation 。 ”第 14 步 :选中 “Iacceptthe license agreement" JE iti “Done”. 


第 153: “Finish Configuration", 第 16 步 为 本 书后 章 讲 到 的 “Kdump” 建 议 开启 (默认 )。 


3:1 





第 17 步 :选择 “No.I prefer to register at later time.” 第 18 步 :选择 系统 语言 ，( 本 书 例题 用 英文 版 完成 )。 
第 19 步 :选择 输入 资源 ， 默 认 即 可 。 第 


Subscription Management Registration 


hrough the proces 
j "at t 


Create a Local Account 
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20 步 :创建 一 个 本 地 用 户 (权限 比 Root 小 ， 但 更 加 安全 )。 


第 21 步 :设置 系统 时 间 (上 海 .中 国 )。 第 22 步 :选择 “Start using Red Hat Enterprise Linux Server", 





ecation 


第 23 步 : 茶 喜 ， 您 已 经 顺利 的 安装 了 红 帽 RHELT 操作 系统 。 


"- ow 
aces tp * dà Tue 1621 
GNOME Help 





Li 


Getting Started 





Common Tasks 


GNOME Help 


1.4 使 用 KVM 安装 系统 


VmwareWorkstation 可 并 不 是 唯一 能 够 实现 虚拟 化 的 软件 ， 邵 果 您 之 前 学 习 过 Linux 系统 或 有 一 定 的 命令 行 基础 ， 
并 且 想 试 试 在 linux 系统 中 安装 其 他 系统 ， 现 在 就 教 给 您 操作 方法 ， 新 手 读者 请 先 跳 过 这 个 小 节 吧 -~ 

KVM (Kernel Virtual Module) 能够 提供 像 Vmware 一 样 的 全 虚拟 化 功能 一 一 让 虚拟 机 用 起 来 跟 真 实物 理 机 一 摸 一 样 。 
安装 KVM 之 前 我 们 要 检查 真实 物理 机 是 否 支持 虚拟 化 功能 : 


[root@linuxprobe ~|# grep vmx /proc/cpuinfo 





flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss 
syscall nx rdtscp Im constant_tsc arch_perfmon pebs bts nopl xtopology tsc_reliable nonstop_tsc aperfmperf pni 
pclmulqdq vmx ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt aes xsave avx f16c rdrand hypervisor lahf_Im ida 
arat epb pln pts dtherm tpr shadow vnmi ept vpid fsgsbase smep 
如 果 执 行 该 命令 后 没有 输出 vmx 或 svm 值 , 但 您 的 电脑 是 近 几 年 买 来 的 , 那么 很 有 可 能 只 是 在 BIOS 中 默认 关闭 了 ， 
请 去 开启 试 试 吧 ! 

Inter 处 理 器 的 虚拟 技术 标志 为 vmx。 
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AMD 处 理 恬 的 虚拟 技术 标志 为 svm。 
安装 KVM 以 及 相关 的 依赖 软件 包 : 
[rootelinuxprobe ~|# yum -y groupinstall "Virtualization Host" 
[rootelinuxprobe ~|# yum -y groupinstall "Virtualization Host" 


Loaded plugins: langpacks, product-id, subscription-manager 


Complete! 
[rootelinuxprobe ~|# yum -y install virt-(install,viewer,managerj 


Loaded plugins: langpacks, product-id, subscription-manager 


Complete! 
为 了 让 KVM 中 虚拟 机 能 够 互相 共享 数据 ， 还 必需 配置 真实 机 的 网 络 : 
让 系统 支持 ipv4 的 转发 功能 : 
[root@linuxprobe ~|# echo "net.ipv4.ip forward = 1" > /etc/sysctl.d/99-ipforward.conf 
让 转发 功能 立即 生效 : 
[root&linuxprobe ~|# sysctl -p /etc/sysctl.d/99-ipforward.conf 
net.ipv4.ip_forward = 1 
新 手 读 者 们 请 注意 ， 前 方 高 能 : 
如 果 您 还 没有 和 学习 过 Linux 命令 ，Vim 编辑 响 与 网 卡 配 置 方 法 的 话 请 先 跳 过 本 小 市 1 
将 网 卡 配 置 文件 中 的 IP 地址 、 子 网 掩 码 等 信息 注释 后 追加 参数 BRIDGE=virbr0( 设 置 网 卡 为 桥接 模式 ): 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-eno 16777736 
DEVICE="eno16777736" 
ONBOOT=yes 
#IPADDR="192.168.10.10" 
#NETMASK="255.255.255.0" 
#GATEWAY="192.168.10.1" 
HWADDR=" 网 卡 的 MAC 地 址 " 
#DNS1="192.168.10.1" 
BRIDGE-virbrO 
创建 用 于 桥接 网 卡 的 配置 文件 (与 上 面 的 配置 文件 很 相似 ) : 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-virbrO 
DEVICE="virbrO" 
TYPE-BRIDGE 
ONBOOT-yes 
BOOTPROTOestatic 
IPADDR-'192.168.10.10" 
NETMASK-'255.255.255.0" 
GATEWAYZz'192.168.10.1" 
DNS1="192.168.10.1" 
当 KVM 安装 完成 并 将 网 卡 配置 妥当 后 请 重启 (reboob 后 再 进行 下 面 的 检查 操作 : 
检查 kvm 模块 是 否 被 加 载 以 及 能 否 正常 的 使 用 CPU 虚拟 化 功能 : 
[rootelinuxprobe ~]# lsmod | grep kvm 
kvm intel 138567 0 
kvm 441119 1 kvm intel 


DAI 
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检查 桥接 的 网 卡 配置 是 否 启 用 成 功 : 


[root@linuxprobe ~|# ip show virbrO 


3: virbrO: «BROADCAST,MULTICAST,UP,LOWER UP» mtu 1500 qdisc noqueue state UP 


link/ether 00:0c:29:9c:63:73 brd ff:ff:ff:ff:ff:ff 


inet 192.168.10.10/24 brd 192.168.10.255 scope global virbrO 


valid lft forever preferred lft forever 

inet6 fe80:20c:29ff:fe9c:6373/64 scope link 
valid lft forever preferred lft forever 

获取 虚拟 机 列表 (默认 为 空 是 正常 的 ) : 
[root@linuxprobe ~|# virsh -c qemu:///system list 
Id Name State 

KRT! 现在 来 配置 虚拟 机 参数 吧 : 
[root@linuxprobe ~|# virt-manager 


第 1 步 : 填写 虚拟 机 名 称 和 设置 安 效 模 式 。 


New VM 


| > "| Create a new virtual machine 





Enter your virtual machine details 
此 处 填写 虚拟 机 的 名 称 | 


Name: | rhel 7] 


Connection: localhost (GEMU/KVIM) 


Choose how you would like to install the operating system 


© Local install media (ISO image or CDROM) VY 选择 镜像 安装 
^^ Network Install (HTTP, FTP, or NFS) 
© Network Boot (PXE) 


m Import existing disk image 


Cancel | | Back | | Forward 



































第 2 步 : 选中 RHEL7 镜像 并 设置 系统 类 型 。 


New VM 


| p" Create a new virtual machine 





Locate your install media 


O Use CDROM or DVD 


| RHEL-7.0. Server.x86. 64 (/dev/srO) = | 











© UselSO image: 


| Atmp/RHEL-server-7.0-x86. 64-LinuxPr ~ | 8rowse.. | 












































OS type: ' Linux w | 
Version: | Red Hat Enterprise Linux 7 w | 
| Cancel | | Back | | Forward | 
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第 3 步 : 设置 内 存量 与 CPU 核 数 。 第 4 步 定义 硬盘 容量 。 


New VM New VM 


E Create a new virtual machine 





| a Create a new virtual machine 





Choose Memory and CPU settings W Enable storage for this virtual machine 




















Memory (RAM): | 2048 — | + | MB Create a disk image on the computer's hard drive 
Upto 3778 MB available on the host | 8 o -— | GB BEA 
SD | 4 | CPU 核 数 10.3 Gb available in the default Location 





Up to 4 available © Allocate entire disk now ts (OECSEVESIAYUNESEEST T: 














Cancel | | Back | | Forward | | Cancel | | Back | | Forward | 


第 53v: 检查 配置 后 开启 虚拟 机 。 


New VM 


[»* Create a new virtual machine 





Ready to begin installation of rhel7 
OS: Red Hat Enterprise Linux 7 
Install: Local CDROM/ISO 
Memory: 2048 MB 
CPUs: 4 
Storage: 8.0 GB /var/lib/libvirt/images/rhel7 img 


4 Customize configuration before install 


* Advanced options 


Cancel | | Back | | Finish 





























1.5 配置 VNC 服务 程序 


VNC 虚拟 网 络 计 算 机 (Virtual Network Computing) 是 一 款 由 欧洲 实验 室 AT&T 研发 的 远程 控制 程序 , VNC 服务 程序 
可 以 运行 在 类 Unix 计算 机 系统 之 上 ， 拥 有 强大 的 远程 控制 能 力 ， 高 效 且 实用 。 

如 果 您 是 Linux 初学 者 或 不 需要 远程 控制 功能 ， 请 先 翻 过 本 小 节 ， 等 学 完 Linux 命令 了 再 来 学 ~ 

在 红 帽 RHEL7 系统 中 VNC 的 服务 软件 包 叫 做 tigervnc-server: 

[root@linuxprobe ~|# yum install tigervnc-server 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
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tigervnc-server — x86 64 1.2.80-0.30.2013031 4svn5065.el7 rhel7 199 k 


Complete! 

复制 一 份 vnc 服务 程序 的 配置 文件 (文件 名 中 的 :3 代表 5903 端口 ): 
[root@linuxprobe ~|# cp /lib/systemd/system/vncserverQ service /etc/systemd/system/vncserver@:3.service 
编辑 vnc 服务 的 配置 文件 ， 将 所 有 的 修改 为 linuxprobe 用 户 : 
[root@linuxprobe ~|# vim /etc/systemd/system/vncserverQ:3.service 
[Unit] 

Description=Remote desktop service (VNC) 

After=syslog.target network.target 

[Service] 

Type=forking 

# Clean any existing files in /tmp/.X1 1-unix environment 
ExecStartPre-/bin/sh -c /usr/bin/vncserver -kill 96i > /dev/null 22&1 ||: 
ExecStart-/sbin/runuser -| «USER» -c "/usr/bin/vncserver 96i" 
PIDFilez/home/«USER-/.vnc/96H?96i.pid 

ExecStop-/bin/sh -c /usr/bin/vncserver -kill 96i > /dev/null 2>&1 ||? 
[Install] 

WantedBy-multi-user.target 

配置 防火 墙 规则 : 

[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --add-port-5903/tcp 
Success 

[rootelinuxprobe ~|# firewall-cmd reload 

Success 

使 用 linuxprobe 用 户 设置 连接 密码 : 

[linuxprobe@linuxprobe ~|$ vncserver 

You will require a password to access your desktops. 
Password: 此 处 输入 连接 密码 

Verify: 此 处 再 次 输入 密码 

New linuxprobe.com:1 (linuxprobe)' desktop is linuxprobe.com:1 
Creating default startup script /linuxprobe/.vnc/xstartup 

starting applications specified in /linuxprobe/.vnc/xstartup 

Log file is /linuxprobe/.vnc/linuxprobe.com:1.log 

将 vncserver 服务 程序 启动 并 加 入 到 开机 启动 项 中 : 

[root@linuxprobe ~|# systemctl start vncserver@:3.service 


[root&linuxprobe ~|# systemctl enable vncserver@:3.service 


此 时 便 可 以 使 用 vnc A Pg LEE 
ÉVoIVNC Viewer MEA uidi. mujun = 23 | 


VNC& Viewer 


WNC Server: IEPALA E 


Encryption: | Let VNC Server choose - 
T — 
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但 是 如 果 您 出 现 了 这 样 的 报错 : 

xauth: (stdin):1: bad display name "linuxprobe.com:1" in "add" command 
代表 您 的 主机 名 (hostname) 不 能 被 ping 通 ， 请 执行 这 行 命 令 : 

echo "127.0.0.1 linuxprobe.com' > /etc/hosts 


1.6 € € Root 用 户 密码 


3H EAEÀEXERIROEINSEECK TT, (IRqESexinT«w €ESGRI€EGGJUP, —EXX AU! ZH 
RHEL6 系统 与 红 帽 RHEL7 系统 破解 系统 密码 方法 完整 版 :http://www.linuxprobe.com/reset-root-password/ 

如 果 您 是 刚刚 接手 了 一 合 Linux 系统 ， 请 先 确认 这 全 系统 是 不 是 红 帽 RHEL7 系统 再 进行 下 面 的 操作 哦 : 
[rootelinuxprobe ~|# cat /etc/redhat-release 


Red Hat Enterprise Linux Server release 7.0 (Maipo) 


第 1 步 : FIERREN "e. 


Red Hat Enterprise Linux Serwer，Mith Linux 3.1H. H-123.817.x8b b4 
Red Hat Enterprise Linux Server, mith Linux HB-rescue-112e8cbeH55841b2974» 


lise the f and 4 keys to change the selection. 
Press 'e' to edit the selected item, or 'c' for a command prompt. 
The selected entry nill be started automatically in 5s. 





€ 23: 在 linux16 ZT /& Wi M. "rd.break" Aiti "ctrlex “o 
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insmod xfs 
set ronat-'hdH,mzdosi' 
if [ x$feature platform search hint = xy 1: then 
search --no-floppu --fs-uuid --set-root --hint-bhbios-hdBH,msdosi --hin* 
—efi-hdB,msdosi --hint-baremetal-ahciH,msdozsi --hint-'hdH,msdosi' 5fdbB8c8H-H* 
ja-4b47-87ee-b225adBHf^5a54 
else 
search --no-floppu --fs-uuid --set-root 5fdbB8c8H-Ha3a-4db47-878e-b225*. 
ddfSasd 
fi 
linuxi6 zvmlinuz-ĵ3. 16. ġ-123.e17.x86_64 root=UUID0D=839848c2-4663-4223-a7™ 
52-eB7bfid3e5?d ro rd.lum.luou-rhel^root crashkernel-auto  rd.]lum.lo-rhel^/smap v^ 
onsole.font-latarcyrheb-sun1Bb vconsole.keymap-us rhgb quiet LüHB-en lS.UTF-8 * 


initrdi1b ^initramfs-3.1H.H-1273. 817. xB8b b4. img i 
Press Ctrl-x to start, Ltrl-c for a command prompt or Escape to 


discard edits and return to the menu. Pressing Tab lists 
possible completions. 





第 3 步 : 进入 到 了 系统 的 紧急 求援 模式 。 


Entering emergency mode. Exit ther hell tm contie. 
ype "journalet" to vieu matea logs. 

You might want to saue ";runzinitramfz.;rdznzrepurt.txt" to a USH stii 
ilter mounting them and attach it to a hug report. 





第 4 步 : 依次 输入 以 下 命令 。 
mount -o remount,rw /sysroot 
chroot /sysroot 
echo "linuxprobe' | passwd --stdin root 
touch /.autorelabel 
exit 
reboot 


E BORGI] zd 2:00:00: Lada 
g "erun initraats+risosreport. tt” 
We. Exit th: hell to contine . 


o wiru syet logsz. 
E run^initramlz;rdsnsrepurt.txt 





第 5 步 : 重启 时 会 很 慢 ， 耐 心 等 待 即 可 。 


Aüzsumimg drive cache 
deu fdt, secto 
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1.7 安装 虚拟 机 增加 包 


VMware Tools 是 VMware 虚拟 机 中 自 带 的 增强 工具 包 ， 用 于 增强 虚拟 机 显卡 与 硬盘 性 能 、 同 步 虚 拟 机 与 主机 的 时 钟 
时 间 、 最 主要 的 是 可 以 支持 虚拟 机 与 主机 之 间 的 文件 拖 搜 传输 。 

(Linux 就 该 这 么 学 》 的 第 二 章 才 会 正式 接触 Linux 命令 ， 所 以 此 刻 您 暂且 无 需 对 下 面 的 安装 过 程 完 全 理解 。 
第 1 步 :在 虚拟 软件 中 选择 “安装 /重新 安装 VMware Tools(T)" : 


E) RHEL7-1 - VMware Workstation 
mei mE) men | ANUM RET WAH) H- 








第 2 步 :安装 VMwareTools 功能 增加 包 GRH root 用 户 登 陆 系统 ): 
创建 /media/cdrom 目录 : 

[root@linuxprobe ~|# mkdir -p /media/cdrom 

将 光驱 设备 挂 载 到 该 目录 上 : 

[root@linuxprobe ~|# mount /dev/cdrom /media/cdrom 
进入 到 该 挂 载 目录 : 

[rootelinuxprobe ~|# cd /media/cdrom 

将 功能 增强 包 复 制 到 /home 目录 中 : 

[root@linuxprobe cdrom| cp VMwareTools-9.9.0-230497 7 tar.gz /home 
进入 到 /home 目录 中 : 

[rootelinuxprobe cdrom|# cd /home 

解压 功能 增强 包 : 

root@linuxprobe home] tar xzvf VMwareTools-9.9.0-2304977 .tar.gz 
vmware-tools-distrib/ 

vmware-tools-distrib/FILES 

vmware-tools-distrib/doc/ 

vmware-tools-distrib/doc/open. source licenses.txt 
vmware-tools-distrib/doc/INSTALL 
vmware-tools-distrib/doc/README 

vmware-tools-distrib/installer/ 
vmware-tools-distrib/installer/services.sh 
vmware-tools-distrib/installer/guestproxy-ssl.conf 
vmware-tools-distrib/installer/thinprint.sh 


vmware-tools-distrib/installer/upstart-job.conf 


进入 解压 文件 夹 中 : 

[root@linuxprobe homel|# cd vmware-tools-distrib/ 

运行 安装 脚本 并 加 上 人 参数-d， 代 表 默 认 安 奢 : 

[root@linuxprobe vmware-tools-distrib|# ./vmware-install.pl -d 

The installer has detected an existing installation of open-vm-tools on this 
system and will not attempt to remove and replace these user-space 


applications. It is recommended to use the open-vm-tools packages provided by 
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the operating system. If you do not want to use the existing installation of 
open-vm-tools and attempt to install VMware Tools, you must uninstall the 
open-vm-tools packages and re-run this installer. 
The installer will next check if there are any missing kernel drivers. Type yes 


if you want to do this, otherwise type no [yes] 


当 您 看 到 这 个 字样 后 ， 重 启 后 即 可 正常 使 用 VmwareTools 9. 

Creating a new initrd boot image for the kernel. 

Starting Virtual Printing daemon: done 

Starting vmware-tools (via systemctl): [ OK | 

The configuration of VMware Tools 9.9.0 build-2304977 for Linux for this 
running kernel completed successfully. 

Enjoy, 

--the VMware team 

* 3: 重新 启动 系统 后 生效 : 


[root@linuxprobe ~|# reboot 


1.8 重要 的 守护 进程 


当 给 一 台 主 机 安装 上 Linux 系统 后 就 可 以 工作 了 一 一 包括 接受 用 户 的 输入 /计算 /存储 /再 将 结果 输出 等 等 ， 这 是 都 是 
系统 服务 帮助 我 们 完成 的 。 而 有 一 些 系统 服务 需要 时 刻 等 待 用 户 的 输入 〈 如 键盘 进程 ) 或 随时 响应 用 户 的 请 求 〈 如 网 
站 服务 进程 ) 等 等 。 

守护 进程 (Daemon) 通常 会 随 系统 启动 时 激活 并 随 系统 关闭 时 停止 ， 一 直 在 系统 后 全 中 默默 为 用 户 提供 服务 : 


守护 进程 名 称 用 处 

crond 计划 任务 

dhcpd 动态 IP 地 址 分 配 服 务 (DHCP) 
httpd 网 站 服务 

Ipd 打印 服务 器 

named 域名 解析 服务 ONS) 

nfs 文件 共享 服务 (NFS) 

smb 文件 共享 与 打印 服务 (SAMBA) 
syslog 系统 日 志 


一 


gpm 鼠标 进程 
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1.9 2L ACIE ELE TE de 


在 红 帆 软件 包 管 理 器 RPM) 公布 之 前 要 想 在 Linux 系统 中 安装 软件 只 能 采取 “源码 包 ” 的 方式 安装 ， 早 期 在 Linux 
系统 中 安装 程序 是 一 件 非常 困难 ,耗费 耐心 的 事情 ， 因 为 大 多 数 的 服务 程序 仅仅 提供 编译 源码 ， 需 要 运 维 人 员 自行 纺 
译 代码 并 解决 许多 的 依赖 关系 ， 源码 安装 需要 运 维 人 员 有 很 多 的 知识 、 高 超 的 技能 、 黄 至 很 好 的 耐心 才能 安装 好 一 个 
程序 ， 而 且 在 安 闭 、 升 级 、 节 载 时 还 要 考虑 到 其 他 程序 、 库 的 依赖 关系 ， 所 以 管理 员 在 校 验 、 安 装 、 仓 载 、 查 询 、 升 
级 等 管理 软件 操作 时 难度 非常 大 。 
而 RPM 机 制 则 为 解决 这 些 问题 而 设计 的 ，RPM 原 称 为 “Redhat Package Manager”， 因 其 卓越 的 优势 很 快 被 公众 
认可 ， 目 前 使 用 范围 也 已 不 局 限 在 红 帆 系统 中 了 。RPM 会 建立 统一 的 数据 库 文件 ， 详 细 的 记录 软件 信息 并 能 够 自动 
分 析 依 赖 关系 ， 顺 有 一 些 “ 软 件 控制 面板 ”的 感觉 。 

安装 软件 :rpm -ivh filename. rpm 

升级 软件 :rpm -Uvh filename.rpm 

HRK fF:rpm -e filename.rpm 

查询 软件 的 描述 信息 :rpm -gpi filename.rpm 

列 出 软件 的 文件 信息 :rpm -qpl filename.rpm 

查询 文件 属于 那个 RPM:rpm -qf filename 
虽然 RPM 能 够 帮助 用 户 查询 软件 相关 的 依赖 关系 ， 但 问题 还 是 要 自己 解决 ， 有 些 大 型 软件 需要 数 十 个 依赖 包 也 是 不 
小 的 负担 。 


1.10 Yum 软件 仓库 


Yum 仓库 则 是 为 进一步 简化 RPM 管理 软件 难度 而 设计 的 ，Yum 能 够 根据 用 户 的 要 求 分 析出 所 需 软 件 包 及 其 相关 依 
赖 关系 ， 自 动 从 服务 器 下 载 软件 包 并 安装 到 系统 ， 听 起 来 就 已 经 很 磷 了 吧 ? 


Yu 软件 仓库 陆 


客户 机 € 客户 机 € ue - ua - 


yum 软件 仓库 的 使 用 拓扑 图 
用 户 能 够 根据 需求 来 指定 Yum 仓库 与 是 否 校 验 软件 包 ， 而 这 些 只 需 几 条 关键 词 即 可 完成 ,现在 来 学 习 下 配置 的 方法 . 
PUR Yum 仓库 的 配置 文件 均 需 以 .repo 结尾 并 存放 在 /etc/yum.repos.d/ 目 录 中 的 。 
[rhel-medial: yum 源 的 名 称 ， 可 自 定义 。 
baseurl=file:///media/cdrom :提供 方式 包括 FTP (ftp//.). HTTP (http://..)、 本 地 (file///..) 
enabled=1 : 设置 此 源 是 否 可 用 ，1 为 可 用 ，0 为 禁用 。 
gpgcheck=1 :设置 此 源 是 否 校 验 文件 ，1 为 校 验 ，0 为 不 校 验 。 
gpgkey=file:///media/cdrom/RPM-GPG-KEY-redhat-release : 阁 为 校 验 请 指定 公 钥 文件 地 址 。 
Yum 仓库 中 的 RPM 软件 包 可 以 是 由 红 帽 官方 发 布 的 ， 也 可 以 是 第 三 方 组 织 发 布 的 ， 当 然 用 户 也 可 以 编写 的 ~ 
本 书 提供 的 镜像 光盘 内 已 经 包含 了 大 量 的 可 用 RPM 软件 包 ， 将 会 在 后 面 的 实验 章节 中 为 大 家 演示 如 何 使 用 。 


命令 作用 





yum repolist all 


yum list all 


yum info 软件 包 名 称 
yum install 软件 包 名 称 
yum reinstall 软件 包 名 称 


yum update 软件 包 名 称 


yum remove 软件 包 
yum clean alla 
yum check-update 


yum grouplist 


yum groupinstall 软件 包 组 
yum groupremove 软件 包 组 


yum groupinfo 软件 包 组 
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列 出 所 有 仓库 。 


列 出 仓库 中 所 有 软件 包 


升级 软件 包 


移 除 软件 包 


清除 所 有 仓库 缓存 


检查 可 更 新 的 软件 包 


查看 系统 中 已 经 安装 的 软件 包 组 


安装 指定 的 软件 包 组 


移 除 指定 的 软件 包 组 


查询 指定 的 软件 包 组 信息 
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第 2 章 新 手 必须 掌握 的 Linux 命令 。 


章节 简 述 : 

本 章节 讲述 系统 内 核 、Bash 解释 器 的 关系 与 作用 ， 教 给 读者 如 何 正确 的 执行 Linux 命令 以 及 常见 排 错 方法 。 
经 验 丰 富 的 运 维 人 员 可 以 恰当 的 组 合 命令 与 参数 ， 使 Linux 字符 命令 更 加 的 灵活 且 相 对 减少 消耗 系统 资源 。 
已 经 收录 了 上 百 个 最 常用 的 Linux 命令 ， 其 中 有 数 十 个 命令 被 放 到 了 后 面 的 章节 ， 到 时 候 咱 们 再 随 用 随 学 ~ 


2.1 强大 好 用 的 SHELL 


计算 机 硬件 是 由 运算 器 、 控 制 器 、 存 储 玲 、 输 入 /输出 设备 等 设备 组 成 的 ， 而 能 够 让 机 箱 内 各 种 设备 各 司 其 职 东 西 就 
叫做 一 一 系统 内 核 。 内 核 负 责 驱 动 硬件 、 管 理 活 动 和 分 配 / 管 理 硬 件 资源 ， 如 此 说 来 系统 内 核对 计算 机 来 讲 可 真 的 是 
太 重 要 了 ， 所 以 它 不 能 直接 让 用 户 操 作 。 

因为 用 户 不 能 直接 控制 硬件 也 不 能 直接 操作 内 核 ， 寺 是 便 需要 基于 “系统 调用 接口 ”开发 出 的 程序 /服务 来 满足 用 户 
日 常 工作 了 。 







系统 调用 接口 
内 核 


硬件 


首先 承认 在 红 帽 RHEL7 中 有 些 诸如 逻辑 卷 管理 器 (LVM) 的 图 形 化 工具 非常 好 用 ， 也 减少 了 运 维 人 员 操 作出 错 的 几 
率 ， 值 得 称赞 ， 但 一 直 以 来 Linux 和 运 维 人 员 更 多 的 倾向 于 用 命令 写 脚 本 程序 ， 因 为 图 形 化 的 工具 不 灵活 而 且 相 比 来 
说 更 加 消耗 系统 资源 。 

其 实 很 多 图 形 工具 也 是 调用 脚本 来 工作 的 ， 但 功能 却 被 “ 阀 制 ”了 ,更 缺乏 了 灵活 性 ， 所 以 有 些 运 维 人 员 甚 至 都 不 会 
给 Linux 系统 安装 图 形 界 面 ， 需 要 工作 了 直接 远程 连接 过 去 ， 不 得 不 说 这 样 做 真 的 挺 高 效 的 。 
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"Shell “一 一 也 可 称 为 “ 壳 ”， 充 当 的 是 人 与 内 核 〈 硬 件 ) 
的 翻译 官 , 用 户 将 一 些 命令 “告诉 ”Shell, 它 就 会 调用 相应 
的 程序 服务 执行 工作 啦 , 很 厉害 吧 ~~ 现 在 包括 红 幅 系统 在 内 
的 许多 热门 Linux 系统 主流 默认 字符 Shell 是 Bash(Bourne- 
Again SHell)。 
读者 要 明白 bash 作为 大 多 数 linux 系 统 的 默认 字符 解释 器 ， 
必须 必须 必须 得 学 好 ! Bash 的 优势 


1 .默认 保存 历史 命令 (可 用 上 下 键 翻 看 ) ^ - 、 
2 命令 仅 需 输入 前 几 位 就 可 以 用 tab 键 补 全 (RHEL7 更 牛 的 系统 硬件 


是 参数 补 全 ) l in. 


3. 强 大 的 批 处 理 脚 本 
4. 实 用 的 环境 变量 





2.2 执行 命令 与 查看 帮助 


既然 有 了 如 此 好 用 的 “翻译 官 ”， 那 么 接 下 来 就 有 必要 好 好 学 习 下 如 何 更 高 效 的 和 它 沟 通 了 ~ 
要 想 准 确 的 、 高 效 的 完成 工作 ， 不 能 够 光 靠 命令 本 身 ， 还 应 该 根据 实际 情况 来 组 合 各 种 命令 选择 和 命令 参数 : 
命令 名 称 [命令 参数 | [命令 对 象 ] 
注意 :命令 名 称 、 命 令 参 数 、 命 令 对 象 之 间 请 用 空格 键 分 隔 。 
比较 好 理解 的 是 命令 对 象 ， 命 令 对 象 一 般 是 指 要 处 理 的 目标 (普通 文件 /目录 文件 /用 户 等 等 )， 而 命令 参数 对 于 新 
手 来 讲 比 较 麻 烦 ， 因 为 这 个 值 会 随 命令 的 不 同和 环境 情况 的 不 同 而 异 ， 所 以 在 参数 选择 搭配 上 需要 长 时 间 的 经 验 积 
A Wu. 
命令 的 参数 可 以 选用 长 格式 (完整 的 选项 名 称 ) 也 可 选用 短 格式 (单个 字母 的 缩写 ), 分 别 用 ”一 “与 ”一 “做 前 级 。 
长 格式 如 :man - help 
短 格 式 如 :man -h 
当 遇 到 了 一 个 陌生 命令 后 如 何 知道 它 有 那些 可 用 的 参数 ? 这 时 就 可 以 用 man 命令 了 。 
本 书 将 man 命令 作为 第 一 个 要 学 的 Linux 命令 是 因为 它 的 作用 非常 强大 一 一 可 用 于 查看 命令 的 具体 可 用 参数 与 对 
象 格 式 等 等 。 
运行 虚拟 机 中 的 RHEL7 系统 ， 并 在 桌面 上 敲 击 右键 后 点 击 “Open in Terminal ， 这 样 就 成 功 的 打开 了 一 个 终端 。 


* R Wed14:46  €broot 





f^ Applications Places 





M49 


输入 字符 “man man" XM man 命令 查看 自身 的 帮助 信息 。 


man 4 
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rootglinuxprobe;"/Desktop 


Fite Edit View Search Terminal Help 
[roctülinuxprobe Desktopl* 国 
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rootglinuxprobe:*/Desktop 


Manual pager utils MAN( 1) 
- an interface to the on-line reference manuals 


man [-C file] [-d] v" I ncm ga [-R encoding) [ 
locale] [-m system[,...]] [-M path] [ extension] [- in 
[--regex| --Mildcard] [- eur erra he ^ [--no-subpages) ([-P 
pager) [-r prompt] [-7) [-E encoding] [--no-hyphenation) [--no-justifi- 
cation] [-p string] [-t] [- T[device]] [-H[browser]] [-X[dpi]] [-Z] 
[[secrion] page 

man -k [ options] regexp . 

man -K [-w|-W] [-S list] [-i|-I) [--regex] [section] term . 

man -f options] page 

man -l [-C fite] [(-d) [-D] [- -maringa aiming) [-R encoding] [-L 
em MUSS er UE Misa Qr [RACEN [ou 
[-Ti[device]] [-Hibrowser]] [- mpi 下 ^ fila. 

man -w|-W [-C fiie] [-d] [-D] page 

man -c [-C file] [a] [28] pAOÉ c 

man [-?V] 


DESCRIPTION 

















man 命令 的 可 用 帮助 文档 分 类 有 : 


代码 


代表 内 容 


普通 的 命令 


内 核 调用 的 函数 与 工具 


第 见 的 函数 与 函数 库 


设备 文件 的 说 明 


配置 文件 
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8 管理 员 可 用 的 命令 
9 内 核 相关 的 文件 
一 般 来 讲 帮助 文件 都 很 长 很 多 ， 如 果 你 想 翻 看 的 话 ， 就 要 理解 帮助 文档 的 目录 结构 与 操作 方法 : 
结构 名 称 代表 意义 
NAME 命令 的 名 称 
SYNOPSYS 参数 的 大 致使 用 方法 
DESCRIPTION 介绍 说 明 
EXAMPLES 演示 (附带 简单 说 明 ) 
OVERVIEW 概述 
DEFAULTS 默认 的 功能 
OPTIONS 具体 的 可 用 选项 〈 囊 介绍 ) 
ENVIRONMENT 环境 变量 
FILES 用 到 的 文件 
SEE ALSO 相关 的 资料 
HISTORY 维护 历史 与 联系 方式 
man 命令 的 操作 按键 : 
按键 用 处 
空格 键 向 下 翻 一 页 。 
[Page Down] 向 下 翻 一 页 。 
[Page Up] 向 上 翻 一 页 。 
[HOME] 直接 前 往 首 页 。 
[END| 直接 前 往 尾 页 。 
/关键 词 从 上 至 下 搜索 茶 个 关键 词 ,如 "/linux"。 
?关键 词 从 下 至 上 搜索 茶 个 关键 词 ,如 "?linux'。 


n 定位 到 下 一 个 搜索 到 的 关键 词 。 
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N 定位 到 上 一 个 搜索 到 的 关键 词 。 
q 退出 帮助 文档 。 


2.3 常用 系统 工作 命令 


刚刚 学 会 了 一 个 重量 级 的 man 命令 ， 感 觉 很 不 错 吧 ? 接 下 来 就 是 常用 的 命令 啦 ， 


查 也 可 以 的 ，echo 命令 用 于 在 终端 显示 字符 串 或 变量 ， 格 式 为 : 
将 echo 命令 的 字符 串 输 出 到 终端 : 

[root@linuxprobe ~|# echo Linuxprobe.Com 

Linuxprobe.Com 

用 echo 命令 查看 SHELL 变量 的 值 〈 前 面 有 $ 符 号 ) : 
[root@linuxprobe ~]# echo $SHELL 

/bin/bash 


查看 本 机 主机 名 : 
[rootelinuxprobe ~|# echo $HOSTNAME 


Linuxprobe.Com 


date 命令 用 于 显示 /设置 系统 的 时 间或 日 期 ， 格 式 为 : ”date [选项 ] [+ 指定 的 格式 ]”。 


强大 的 date 命令 能 够 按照 指定 格式 显示 系统 的 时 间或 日 期 ， 
pir 


参数 作用 

%t 跳 格 [TAB 键 ] 

76H / Rt (00-23) 

96] 小 时 (01-12) 

%M 4 $t (00-59) 

96S f^ (00-60) 

%X AE 35 -F96H:96M:968 

76Z 显示 时 区 

%p 显示 本 地 AM R PM 

%A 星期 几 (Sunday-Saturday) 


%a 星期 几 (Sun-Sat) 


只 需 键入 ”+ ”号 开头 的 字符 上 囊 指定 其 
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尽量 背 记 下 来 ， 当 然 实 在 不 行 回 来 
"echo [字符 串 | 变量 | 


格式 ， 详 细 格 式 
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%B 完整 月 份 (January-December) 
%b 缩写 月 份 (Jan-Dec) 

%d H (01-31) 

%j 一 年 中 的 第 儿 天 (001-366) 
%m 月 份 (01-12) 

96Y 完整 的 年 份 
查看 当前 的 系统 时 间 : 


[root@linuxprobe ~|# date 

Mon Aug 24 16:11:23 CST 2015 

按照 ”年 -月 -日 小 时 :分 钟 : 秒 ” 的 格式 : 
[root@linuxprobe ~|# date "+%Y-%m-%d 96H:96M:968" 
2015-08-24 16:29:12 


设置 系统 时 间 为 2015 年 9 月 1 日 8 点 半 : 
[root@linuxprobe ~|# date -s "20150901 8:30:00" 
Tue Sep 1 08:30:00 CST 2015 
查看 当前 系统 时 间 : 

[root@linuxprobe ~|# date 

Tue Sep 1 08:30:01 CST 2015 
查看 本 地 系统 时 区 : 

[root@linuxprobe ~|# date '496Z" 

CST 

查看 星期 几 : 

[rootelinuxprobe ~|# date "496A" 

Tuesday 

输入 当前 是 上 午 还 是 下 午 : 
[root@linuxprobe Desktop]4 date "+%p" 
AM 

判断 今天 是 一 年 中 的 第 几 天 : 
[root@linuxprobe ~|# date "«96j" 

244 

reboot 命令 用 于 重启 系统 ( 仅 root 用 户 可 以 使 用 ， 格 式 为 : " reboot" , 
€ Bi X: 

[root&linuxprobe ~|# reboot 


wget 命令 用 于 使 用 命令 行 下 载 网 络 文件 ， 格 式 为 : “wget [参数 ] 下 载 地 址 ”。 
参数 作用 


-b gf TASA. 
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-0 下 载 到 指定 目录 。 

t 最 大 尝试 次 数 。 

Je 断 点 续 传 

-p 下 载 页 面 内 所 有 资源 ,包括 图 片 、 视 频 等 。 
es $ TFR 


首先 需要 配置 您 的 Linux 系统 能 够 正常 登入 互联 网 ， 然 后 使 用 wget PATRE (Linux 就 该 这 么 学 》 提 供 的 红 幅 
RHEL7 系统 镜像 : 

[root&linuxprobe ~|# wget http://www.linuxprobe.com/ Tools/RHEL-server-7.0-x86_64-LinuxProbe.Com.iso 

--20 15-09-01 18:25:24- http://www.linuxprobe.com/Tools/RHEL-server-7.0-x86_64-LinuxProbe.Com.iso 
Resolving www.linuxprobe.com... 106.185.25.197 

Connecting to www.linuxprobe.com| 106.185.25.197 |:80... connected. 

saving to: RHEL-server-7.0-x86, 64-LinuxProbe.Com.iso' 

100%|[====================================&gt;| 3,2743,416,320 1.82M/5s in 32m 27s 

2015-09-01 18:57:51 (1.83 MB/s) - RHEL-server-7.0-x86. 64- 

LinuxProbe.Com.iso' saved [3743416320/3743416320] 

递归 下 载 《Linux 就 该 这 么 学 》 的 整 站 页 面 与 所 有 资料 ， 下 载 完成 后 会 在 当前 目录 中 保存 成 名 
为 ”Www.linuxprobe.com“ 的 目录 : 

[root@linuxprobe ~|# wget -r -p http://www.linuxprobe.com 

--2015-09-01 18:31:41-- http://www.linuxprobe.com/ 

Resolving www.linuxprobe.com... 106.185.25.197 

Connecting to www.linuxprobe.com| 106.185.25.197 |:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: unspecified [text/html] 


saving to: www. linuxprobe.com/index.html 


elinks 用 于 实现 一 个 纯 文 本 界面 的 浏览 性 ， 格 式 为 : “elinks [参数 ] 网址”。 
安装 elinks 纯 文 本 浏览 器 : 

[rootelinuxprobe ~|# yum install elinks 

使 用 elinks 访问 《Linux 就 该 这 么 学 》: 


[rootelinuxprobe ~|# elinks www.linuxprobe.com 


/root/www.linuxprobe.com/ 





24 系统 状态 检测 命令 


合格 的 运 维 人 员 必 需 具 备 快速 查看 系统 状态 的 能 力 ， 所 以 这 些 命 令 真 的 很 常用 呢 ! 
ifconfig 用 于 获取 网 卡 配 置 与 网 络 状态 等 信息 :格式 为 ”ifconfig [网 络 设备 | [参数 ]”。 
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查看 本 机 当前 的 网 卡 配置 与 网 络 状态 等 信息 : 
[root&linuxprobe ~|# ifconfig 
eno16777728: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe9c:6373 prefixlen 64 scopeid Ox20<link> 
ether 00:0c:29:9c:63:73 txqueuelen 1000 (Ethernet) 
RX packets 61 bytes 6612 (6.4 KiB) 
RX errors O dropped O overruns 0 frame 0 
TX packets 32 bytes 4511 (4.4 KiB) 


TX errors O dropped O overruns O carrier O collisions 0 


lo: flags=73<UP, LOOPBACK, RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 

inet6 :1 prefixlen 128 scopeid Ox10<host> 

loop txqueuelen O (Local Loopback) 

RX packets 2 bytes 140 (140.0 B) 

RX errors O dropped O overruns 0 frame 0 

TX packets 2 bytes 140 (140.0 B) 


TX errors 0 dropped O overruns O carrier O collisions 0 


uname 命令 用 于 查看 系统 内 核 版 本 等 信息 ， 格 式 为 : “uname [-a]” . 

查看 系统 的 内 核 名 称 、 内 核发 行 版 、 内 核 版 本 、 节 点 名 、 硬 件 名 称 、 硬 件 平 台 、 处 理 器 类 型 、 操 作 系 统 等 信息 : 
[rootelinuxprobe ~|# uname -a 

Linux linuxprobe.com 3.10.0-123.el7.x86_64 #1 SMP Mon May 5 11:16:57 EDT 2014 x86_64 x86_64 x86 64 
GNU/Linux 

顺便 说 下 ， 如 果 您 想 查看 系统 详细 版 本 信息 就 看 redhat-release x ft: 

[rootelinuxprobe ~|# cat /etc/redhat-release 

Red Hat Enterprise Linux Server release 7.0 (Maipo) 

uptime 命令 用 于 查看 系统 的 负载 情况 ， 格 式 为 : uptime" - 

我 也 经 常用 ”watch -n 1 uptime“ 来 每 秒 刷新 一 次 获得 当前 的 系统 负载 情况 ， 输 出 内 容 分 别 为 系统 当前 时 间 、 系 统 
已 运行 时 间 、 当 前 在 线 用 户 以 及 平均 负载 值 。 而 平均 负载 分 为 最 近 1 分 钟 、5 分 钟 、15 分 钟 的 系统 负载 情况 ， 负 载 
值 越 低 越 好 (小 于 1 是 正常 )。 

获取 当前 系统 状态 信息 : 

[rootelinuxprobe ~|# uptime 

22:49:55 up 10 min, 2 users, load average: 0.01, 0.19, 0.18 

free 命令 用 于 显示 当前 系统 中 内 存 的 使 用 量 情况 ， 格 式 为 : “free [-m/-gl" o 

以 mm 为 单位 显示 当前 系统 中 内 存 的 使 用 量 情况 : 


[rootelinuxprobe ~|# free -m 


总 计 内 存量 已 用 量 可 用 量 进程 共享 的 内 存量 磁盘 缓存 的 内 存量 缓存 的 内 存量 
total used free shared buffers cached 


Mem: 1483 865 098 9 O 299 
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-/+ buffers/cache: 628 855 


S Wap: 2047 0 2047 
who 命令 用 于 查看 当前 登入 主机 的 用 户 情况 ， 格 式 为 : ”who [参数 ]”。 
查看 当前 登入 主机 用 户 的 情况 : 


[root@linuxprobe ~|# who 


登陆 的 用 户 名 终端 设备 登陆 到 系统 的 时 间 
root :0 2015-08-24 17:52 (:0) 
root pts/O 2015-08-24 17:52 (0) 

last 命令 用 于 查看 所 有 系统 的 登入 记录 ， 格 式 为 : ”last [参数 ]”。 

查看 系统 的 登入 记录 : 


[root@linuxprobe ~|# last 

root pts/0 :0 Mon Aug 24 17:52 still logged in 
root :0 :0 Mon Aug 24 17:52 still logged in 
(unknown :0 :0 Mon Aug 24 17:50 - 17:52 (00:02) 
reboot system boot 3.10.0-123.el7.x Tue Aug 25 01:49 - 18:17 (7:-32) 
root pts/O :0 Mon Aug 24 15:40 - 08:54 (7+17:14) 
root pts/O :0 Fri Jul 10 10:49 - 15:37 (45+04:47) 
history 命令 用 于 显示 历史 执行 过 的 命令 ， 格 式 为 : “history [-c]”。 
查看 当前 用 户 在 系统 中 执行 过 的 命令 : 
[root@linuxprobe ~|# history 

| tar xzvf VMwareTools-9.9.0-2304977 .tar.gz 

2 cd vmware-tools-distrib/ 

3 ls 

4 /vmware-install.pl -d 

5 reboot 

6 df-h 

7 cd /run/media/ 

8 ls 

9 cd root/ 

10 Is 

11 cd VMware\ Tools/ 

12 ls 

13 cp VMwareTools-9.9.0-230497 7 tar.gz /home 
14 cd /home 

15 Is 

16 tar xzvf VMwareTools-9.9.0-2304977 tar.gz 

1 7 cd vmware-tools-distrib/ 

18 Is 

19 /vmware-install.pl -d 

20 reboot 
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21 history 
历史 命令 会 被 保存 到 用 户 家 目录 中 的 ”.bash_history“ 文 件 中 。Linux 系统 中 以 点 () 开 头 的 文件 均 代 表 隐 藏 文件 ， 一 
般 会 是 系统 文件 。 
[root@linuxprobe ~|# cat ~/.bash_history 
清空 该 用 户 在 本 机 中 执行 过 命令 的 历史 记录 : 
[rootelinuxprobe ~|# history -c 
history 默认 会 保存 1000 条 执行 过 的 命令 ， 老 要 修改 可 直接 编辑 /etc/profile 文件 的 HISTSIZE 值 。 
sosreport 命令 用 于 收集 系统 系统 配置 并 诊断 信息 后 输出 结论 文档 ， 格 式 为 :  "sosreport" o 
当 我 们 的 红 帆 系统 出 现 故障 需要 联系 红 帽 厂商 或 其 他 技术 支持 时 ， 大 多 数 情况 都 需要 提供 使 用 到 这 个 命令 。 
收集 系统 本 地 配置 信息 并 诊断 : 


[root@linuxprobe ~|# sosreport 


2.5 工作 目录 切换 命令 


虽然 后 面 的 章节 才 会 学 习 到 linux 的 存储 结构 与 “目录 ”这 个 概念 ， 但 没有 关系 ， 现 在 您 也 能 看 懂 下 面 的 操作 。 
pwd 命令 用 于 显示 当前 的 工作 目录 ， 格 式 为 : “pwd [选项 ]”。 


参数 作用 
-P 显示 真实 路 径 。( 即 非 快捷 链接 的 地 址 ) 
查看 当前 的 工作 路 径 : 
[root@linuxprobe etc|£ pwd 
/etc 
cd 命令 用 于 切换 工作 路 径 ， 格 式 为 : “cd [目录 名 称 ]”。 
参数 作用 
切换 到 上 一 次 的 目录 ， 如 “cd -一 
~ 切换 到 “家 目录 ”， 如 "cd ~ 
-username 切换 到 其 他 用 户 的 家 目录 ， 如 "cd -teak" 


切换 到 上 级 目录 ， 如 "cd ， 


切换 进 /etc ERF: 
[root@linuxprobe ~|# cd /etc 
切换 进 /bin 目录 中 : 
[root@linuxprobe etc|# cd /bin 
返回 上 级 目录 〈 即 /etc HR): 
[root@linuxprobe bin|# cd - 
/etc 

返回 用 户 自 己 的 家 目录 : 
[root@linuxprobe etc|# cd ~ 


[root@linuxprobe ~|# 
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ls 命令 用 于 查看 目录 中 有 那些 文件 ， 格 式 为 : “ls [选项 ] [文件 | ”。 
查看 当前 目录 下 有 那些 文件 (长 格式 ): 


[root@linuxprobe etc|# Is -al 


参数 作用 

查看 全 部 文件 (包括 隐藏 文件 ) 
-d 仅 看 目录 本 身 

-h 易 读 的 文件 容量 〈 如 kmg) 
E 显示 文件 的 详细 信息 


查看 /etc 目录 中 有 那些 文件 : 
[root@linuxprobe ~|# ls /etc 
abrt gss printcap 

adjtime gssproxy profile 
aliases gtk-2.0 profile.d 
aliases.db gtk-3.0 protocols 
alsa hba.conf pulse 
alternatives host.conf purple 
anacrontab hostname qemu-ga 
asound.conf hosts qemu-kvm 


at.deny hosts.allow radvd.conf 


查看 /etc 目录 的 权限 与 属性 : 

[rootelinuxprobe ~|# ls -ld /etc 

drwxr-xr-x. 132 root root 8192 Jul 10 10:48 /etc 
追加 -h 参数 ， 以 K/M/G 为 单位 显示 容量 : 
[rootelinuxprobe ~|# Is -Idh /etc 

drwxr-xr-x. 132 root root 8.0K Jul 10 10:48 /etc 


2.6 文本 文件 编辑 命令 


既然 已 经 学 会 了 工作 目录 间 的 切换 与 查看 ， 那 么 就 来 试 试 对 文件 的 一 系列 操作 吧 ， 非 常 实 用 。 
cat 命令 用 于 查看 纯 文 本 文件 〈 较 短 的 )， 格 式 为 : "cat [选项 ] [文件 ]”。 


查看 文本 文件 : 
[root@linuxprobe ~]# cat 文件 名 
参数 作用 
n 显示 行 号 
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-A 显示 出 “不 可 见 ” 的 符号 ， 如 空格 ，tab 键 等 等 
more 命令 用 于 查看 纯 文本 文件 〈 较 长 的 )， 格 式 为 : "more [选项 ] 文件 ”。 
查看 文本 文件 : 

[root@linuxprobe ~]# more 文件 名 

参数 作用 

-数字 预先 显示 的 行 数 〈 默 认为 一 页 ) 

-d 显示 提示 语句 与 报错 信息 
head 命令 用 于 查看 纯 文 本 文档 的 前 N 行 ， 格式 为 : “head [选项 ] [文件 |”。 
查看 文本 文件 前 20 行 : 
[root@linuxprobe ~]# head -n 20 文件 名 

参数 作用 

-n 10 显示 1011 

iuro) 正常 输出 〈 如 cat 命令 )， 但 不 显示 最 后 的 10 行 
tail 命令 用 于 查看 纯 文 本 文档 的 后 N 行 ， 格 式 为 : "tail [选项 ] [文件 ]”。 
d E UxtEs 201: 
[rootelinuxprobe -]4 tail -n 20 文件 名 

参数 作用 

-n 10 显示 后 面 的 10 行 

Ei 持续 刷新 显示 的 内 容 
od 命令 用 于 对 查看 特殊 格式 的 文件 ， 格 式 为 : “od [选项 ] [文件 |”。 

参数 作用 

| 默认 字符 

Hie ASCII 字符 

-to 八进制 

wd 十 进 制 

{X 十 六 进 制 


tr 命令 用 于 转换 文本 文件 中 的 字符 ， 格 式 为 :“tr [原始 字符 ] [目标 字符 ]”。 

读者 如 果 想 转换 实例 中 的 文件 ， 可 下 载 文件 tritxt。 

将 tr.txt 文件 的 内 容 转换 成 大 写 (注意 到 命令 中 间 的 | 了 吗 ? 这 个 叫 管道 命令 符 ， 后 面 小 节 会 学 习 到 的 ) 
[root@linuxprobe ~|# cat tr.txt | tr [a-z] [A-Z] 
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FREE LINUX LESSONS 
PROFESSIONAL GUIDANCE 
LINUX COURSE 
wc 命令 用 于 统计 指定 文本 的 行 数 、 字 数 、 字 节 数 ， 格 式 为 “wc [参数 ] 文本 ”。 
参数 作用 
| 只 显示 行 数 
W 只 显示 单词 数 
-C 只 显示 字 节 数 


统计 当前 系统 中 的 用 户 个 数 : 


[root@linuxprobe ~|# wc -1 /etc/passwd 


38 /etc/passwd 

cut 命令 用 于 通过 列 来 提取 文本 字符 ， 格 式 为 : "cut [参数 ] 文本”。 
参数 作用 

d 分 隔 符 指定 分 隔 符 ， 默 认为 Tab。 
i 指定 显示 的 列 数 。 

c 单位 改 为 字符 


获取 当前 系统 中 所 有 用 户 的 名 称 : 

参数 作用 : -d 以 : 来 做 分 隔 符 ， 菩 参数 代表 只 看 第 一 列 的 内 容 。 
[root@linuxprobe ~|# cut -d: -f1 /etc/passwd 

获取 root 用 户 的 默认 SHELL ffe A : 

[rootelinuxprobe ~]# grep ^root /etc/passwd | cut -d: -f 7 

/bin/bash 

diff 命令 用 于 比较 多 个 文本 文件 的 差异 ， 格 式 为 : ”diff [参数 ] 文件 ”。 
读者 如 果 想 比较 实例 中 的 文件 ， 可 点 此 下 载 文 件 diff Atxt 与 diff_B.txt。 


参数 命令 

b 忽略 空格 引起 的 差异 。 
B 忽略 空 行 引起 的 差异 。 
brief 或 仅 报告 是 否 存在 差异 。 
c 使 用 上 下 文 输出 格式 。 


比较 两 个 文件 的 差异 : 
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[root@linuxprobe ~|# diff diff_A.txt diff B.txt 
1c1,2 


> Welcome to linuxprobe.com 


> Welcome tooo linuxprobe.com 
> 
3c4,5 


» Free Linux Lessons 


> Free Linux LeSSonS 

> BEES (A LIL 

仅 显示 比较 后 的 结果 ， 即 相同 或 不 相同 : 
[root@linuxprobe ~|# diff --brief diff A.txt diff_B.txt 
Files diff A.txt and diff_B.txt differ 

使 用 上 下 文 输出 的 格式 : 

[rootelinuxprobe ~|# diff -c diff_Atxt diff B.txt 

*** diff Atxt 2015-08-30 18:07:45.230864626 +0800 
--- diff B.txt 2015-08-30 18:08:52.203860389 +0800 


FKK K K kk kkk K 


Kk ] 5 沙洲 沙沙 
9» 


! Welcome to linuxprobe.com 
Red Hat certified 

! Free Linux Lessons 
Professional guidance 

Linux Course 

eu lE 

! Welcome tooo linuxprobe.com 
| 

Red Hat certified 

| Free Linux Le5Son5 
Va st URP 
Professional guidance 


Linux Course 


2.7 文件 目录 管理 命令 


touch 命令 用 于 创建 空白 文件 与 修改 文件 时 间 ， 格 式 为 : “touch [选项 ] [文件 ]”。 
我 们 可 以 用 “touch test ”轻松 的 创建 出 一 个 名 字 为 test 的 空白 文档 ， 所 以 这 个 功能 无 须 介 绍 。 
对 于 在 Linux 中 的 文件 有 三 种 时 间 : 
更 改 时 间 (mtime): 内 容 修改 时 间 (不 包括 权限 的 ) 
更 改 权限 (ctime): 更 改 权限 与 属性 的 时 间 
读 取 时 间 (atime): 读 取 文 件 内 容 的 时 间 
如 果 黑 客 执行 了 touch -d “2 days ago” test， 便 将 访问 与 修改 时 间 修 改 为 了 2 天 前 (伪造 了 自己 没有 动 过 该 文件 的 假象 )。 
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参数 4E Ff 
E 近 人 修改“ 访问 时 间 ” (atime) 
-m 近 修 改 “ 更 改 时 间 ” (mtime) 
-d 同时 修改 atime 与 mtime 
-t 要 修改 成 的 时 间 [YYMMDDhhmml 
mkdir 用 于 创建 空白 的 文件 来 ， 格 式 为 : "mkdir [选项 ] 目录 ”。 
创建 文件 夹 : 
[root@linuxprobe ~]# mkdir 文件 夹 名 
参数 作用 
-m=MODE 默认 的 文件 目录 权限 ， 邵 "-m 755" 
-p 连续 创建 多 层 目录 ( 若 文 件 夹 已 存在 则 忽略 ) 
A 显示 创建 的 过 程 


创建 一 个 名 字 叫 linuxprobe 的 目录 : 

[rootelinuxprobe ~|# mkdir linuxprobe 

使 用 1s 命令 查看 该 目录 的 权限 属性 等 信息 : 

[rootelinuxprobe ~|# ls -ld linuxprobe/ 

drwxr-xr-x. 2 root root 6 Aug 24 19:25 linuxprobe/ 

还 记得 刚刚 用 cd 命令 进入 linuxprobe 目录 吗 ? 这 里 是 个 小 技巧 ， 变 量 !$ 或 (键盘 按键 ) 代 表 上 一 条 命令 的 人 参数。 
[root@linuxprobe ~]# cd !$ 


cd linuxprobe 


pwd 命令 也 是 刚刚 学 习 过 的 ， 用 于 显示 当前 的 工作 路 径 。 
[root@linuxprobe siae pwd 
/root/Desktop/linuxprobe 
一 次 创建 5 个 目录 a/b/c/d/e: 
[root@linuxprobe linuxprobe|* mkdir -p a/b/c/d/e 
查看 目录 的 属性 ， 验 证 是 否 成 功 : 
[root&linuxprobe linuxprobej# ls -ld a/b/c/d/e/ 
drwxr-xr-x. 2 root root 6 Aug 29 10:16 a/b/c/d/e/ 
OA 
复制 命令 的 三 种 情况 
TIT 会 将 源 文件 复制 到 该 目录 中 。 
目标 文件 是 一 个 文件 ， 会 将 源 文件 覆盖 该 文件 。 
目标 文件 不 存在 ， 将 会 复制 源 文 件 并 修改 为 目标 文件 的 名 称 〈 重 命名 )。 


参数 作用 
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-p 保留 原始 文件 的 属性 

-d 者 对 象 为 "链接 文件 "， 则 保留 该 "链接 文件 "的 属性 
-r 递归 持续 复制 (用 于 目录 ) 

若 目 标 文件 存在 则 询问 是 否 履 盖 

2d 相当 于 -pdr (\p,dr 为 上 述 的 参数 ) 


创建 一 个 名 为 install.og 的 文件 : 

[root@linuxprobe ~|# touch install.log 

将 installlog 复制 为 x.log: 

[root@linuxprobe ~|# cp install.log x.log 

查看 到 确实 出 现 了 文件 xlog 

[root@linuxprobe ~|# ls 

install.log x.log 

mv 命令 用 于 移动 文件 或 改名 ， 格 式 为 : "mv [选项 ] 文件 名 [目标 路 径 | 目 标 文件 名 ]”。 
将 文件 aaa 重 命名 为 bbb: 

[root@linuxprobe ~|# mv aaa bbb 

rm 命令 用 于 删除 文件 或 目录 ， 格 式 为 : "rm [选项 ] 文件 ”。 
删除 普通 文件 并 提示 确认 信息 : rm 文件 名 ” 

删除 普通 文件 或 目录 文件 ， 不 提示 : “rm -rf 文件 或 目录 名 


参数 作用 

f 忽略 警告 信息 
删除 前 先 询问 
这 删除 文件 夹 
查看 当前 目录 下 的 文件 : 


[rootelinuxprobe ~|# ls 

install.log x.log 

删除 installlog X, WA” y^ WAN: 

[root@linuxprobe ~|# rm install.log 

rm: remove regular empty file 'installlog' ? y 

删除 x.log 文件 而 无 需 确认 : 

[root@linuxprobe ~|# rm -rf x.log 

Linux 系统 中 还 有 一 个 rmdir 命令 ， 它 不 同 于 rm -If 命令 会 删除 一 切 ， 而 是 仅 删除 空 目录 ,， 遇 到 目录 内 有 文件 时 则 报错 。 
dd 命令 用 于 指定 大 小 的 拷贝 的 文件 或 指定 转换 文件 ， 格 式 为 : “dd [参数 ]”。 





参数 作用 
if 输入 的 文件 名 称 。 


of 输出 的 文件 名 称 。 
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bs 设置 每 个 “ 块 ”的 大 小 。 

count 设置 要 拷贝 “ 块 ”的 个 数 。 
conv-ucase 将 字母 从 小 写 转换 为 大 写 。 
conv-lcase 把 字符 从 大 写 转换 为 小 写 。 


将 光驱 设备 拷贝 成 镜像 文件 : 

[root@linuxprobe ~|# dd if=/dev/cdrom of=RHEL-server-7.0-x86_64-LinuxProbe.Com.iso 
7311360+0 records in 

1311360-0 records out 

3743416320 bytes (3.7 GB) copied, 370.758 s, 10.1 MB/s 

生成 一 个 560m 的 空白 文件 : 

[rootelinuxprobe ~|# dd if=/dev/zero of-560 file count=1 bs=560M 
1+0 records in 

1+0 records out 

587202560 bytes (587 MB) copied, 27.1755 s, 21.6 MB/s 

将 硬盘 的 MBR 信息 拷贝 出 来 : 

[root&linuxprobe ~|# dd ifz/dev/sda of=sda_image count-1 bs-512K 
1+0 records in 

1+0 records out 

524288 bytes (524 kB) copied, 0.0449481 s, 11.7 MB/s 


28 用 户 与 组 管理 命令 


useradd 命令 用 于 创建 新 的 用 户 ， 格 式 为 : “useradd [选项 | 用 户 名 ”。 


参数 作用 

-d 指定 用 户 的 家 目录 (默认 为 /home/username) 
-D 展示 默认 值 

-€ 帐号 有 效 截 至 日 期 ， 格 式 : YYYY-MM-DD. 

-g Bx 一 个 初始 用 户 组 〈 必 须 已 存在 ) 


-G EXE 一 个 或 多 个 入 RAF A 


-u 
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不 创建 与 用 户 同名 的 用 户 组 


指定 默认 的 Shell 


指定 用 户 的 UID 


创建 名 为 linuxprobe 的 用 户 ， 并 定义 家 目录 路 径 、UID 以 及 登陆 解释 器 (不 允许 登陆 ): 
[root@linuxprobe ~|# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe 
查看 linuxprobe 用 户 的 基本 信息 : 


[root@linuxprobe ~|# id linuxprobe 


uid=8888(linuxprobe) gid=8888(linuxprobe) groups-8888 (linuxprobe) 
passwd 命令 用 于 修改 用 户 的 密码 ， 格 式 为 : “passwd [选项 ] [用 户 名 ]”。 
修改 当前 用 户 的 密码 :“passwd” 

修改 其 他 用 户 的 密码 :“passwd 其 他 用 户 名 ” 


参数 


作用 

锁定 用 户 禁止 其 登陆 

解除 锁定 ， 人 允许 用 户 登 陆 。 

允许 从 标准 输入 修改 用 户 密码 ， 如 (echo "NewPassWord" | passwd -stdin Username) 
使 帐号 无 密码 

强制 用 户 下 次 登陆 时 修改 密码 


显示 用 户 的 密码 状态 


userdel 命令 用 于 期 除 用 户 所 有 表格 ， 格 式 为 : “userdel [选项 | 用 户 名 ”。 
删除 用 户 与 其 家 目录 : 
[root@linuxprobe ~]# userdel -d 用 户 名 


参数 


zi 


作用 


强制 删除 用 户 ， 家 目录 与 其 相关 文件 


同时 删除 用 户 ， 家 目录 与 其 相关 文件 


usermod 命令 用 于 修改 用 户 的 属性 ， 格 式 为 “usermod [选项 ] 用 户 名 ”。 


参数 


作用 


填写 帐号 的 备注 信息 
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-d -m m 与 -d 连用 ， 可 重新 指定 用 户 的 家 目录 并 自动 旧 的 数据 转移 过 去 。 
-e 帐户 到 期 时 间 ， 格 式 “YYYY-MM-DD 

-g 变更 所 属 用 户 组 

-G 变更 扩展 用 户 组 

锁定 用 户 禁 止 其 登陆 系统 

-U 解锁 用 户 ， 允 许 其 登陆 系统 

-S 变更 默认 终端 

-u 修改 用 户 的 UID 


groupadd 命令 用 于 创建 群 组 ， 格 式 为 : ”groupadd [选项 | 群 组 名 ”。 
创建 名 称 为 linuxprobe 的 用 户 群 组 : 
[root@linuxprobe ~|# groupadd linuxprobe 


2.9 打包 压缩 文件 命令 


tar 命令 用 于 对 文件 打包 压缩 或 解压 ， 格 式 为 : "tar [选项 ] [文件 ]”。 
打包 并 压缩 文件 :“tar -czvf 压缩 包 名 .tar.gz 文件 名 ” 
解压 并 展开 压缩 包 :“tar -xzvf 压缩 包 名 .tar.gz” 


参数 作用 

-C 创建 压缩 文件 

-X 解 开 压缩 文件 

E 查看 压缩 包 内 有 那些 文件 
7 用 Gzip 压缩 或 解压 

-j 用 bzip2 压缩 或 解压 

-y 显示 压缩 或 解压 的 过 程 
f 目标 文件 名 

-P 保留 原始 的 权限 与 属性 


-P 使 用 绝对 路 径 来 压缩 
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-C 指定 解压 到 的 目录 
将 /etc 目录 内 文件 打包 并 通过 gzip 格式 压缩 : 


[root&linuxprobe ~|# tar czvf etc.tar.gz /etc 
tar: Removing leading '/ from member names 
/etc/ 

/etc/fstab 

/etc/crypttab 

/etc/mtab 

/etc/fonts/ 

/etc/fonts/conf.d/ 
/etc/fonts/conf.d/65-0-madan.conf 
/etc/fonts/conf.d/59-liberation-sans.conf 
/etc/fonts/conf.d/90-ttf-arphic-uming-embolden.conf 
/etc/fonts/conf.d/59-liberation-mono.conf 
/etc/fonts/conf.d/66-sil-nuosu.conf 

将 etc.tar.gz 解压 到 /root/etc 目录 中 : 
[root&linuxprobe ost ~|# mkdir /root/etc 
开始 解压 etc.tar.gz 文件 : 


[root&linuxprobe ~|# tar xzvf etc.tar.gz -C /root/etc 


2.10 文件 查询 搜索 命令 


grep 命令 用 于 对 文本 进行 搜索 ， 格 式 为 : "grep [选项 ] [文件 ]”。 
搜索 某 个 关键 词 :“grep 关键 词 文本 文件 ” 


参数 作用 

-b 将 可 执行 文件 (binary) 当 作文 本 文件 (text). 来 搜索 
仅 显 示 找 到 的 次 数 

j 忽略 大 小 写 

n SI 

-V 反 向 选择 一 一 仅 列 出 没有 “关键 词 ” 的 行 。 


搜索 在 /etc/passwd 中 ”/sbin/nologin” 出 现 的 行 ， 找 出 系统 中 不 允许 登陆 的 用 户 。 
[root&linuxprobe ~|# grep /sbin/nologin /etc/passwd 
bin:x:1:1:binz/bin:/sbin/nologin 

daemon:x:2:2:daemon:/sbin:/sbin/nologin 

adm:x:3:4:adm:;/var/adm:/sbin/nologin 


1px:4:7:Ip;/var/spool/Ipd:/sbin/nologin 
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mail:x:8:1 2:mail:/var/spool/mail:/sbin/nologin 
operator:x:1 1:0:operator:/root:/sbin/nologin 
找 出 文件 “/usr/share/gedit/plugins/snippets/docbook.xml” 中 所 有 包含 entry 的 行 并 输出 到 /root/lines: 
答案 模式 :grep entry /usr/share/gedit/plugins/snippets/docbook.xml >> /root/lines 
find 命令 用 于 查找 文件 ， 格 式 为 : "find [查找 路 径 ] 寻找 条 件 操作 ”。 
这 里 需要 注意 下 find 命令 非常 灵活 导致 参数 非常 复杂 ， 这 里 不 要 求 大 家 记 住 ， 用 时 来 查 即 可 。 


对 于 常用 搜索 路 径 有 几 个 小 穿 门 : “~” 代 表 用 户 的 家 目录 ，“.” 代 表 当 前 目录 ，“/” 代 表 根 目录 。 
参数 作用 
-name 匹配 名 称 
-perm 匹配 权限 (mode 为 完全 匹配 ，-mode 为 包含 即 可 ) 
-user 匹配 所 有 者 
-group 匹配 所 有 组 
-mtime -n +n 匹配 修改 内 容 的 时 间 (Cn 指 n 天 以 内 ，+n 指 n 天 以 前 ) 
-atime -n +n 匹配 访问 文件 的 时 间 -n 指 n 天 以 内 ，+n 指 n 天 以 前 
-ctime -n +n 匹配 修改 权限 的 时 间 -n 指 n RAN, «ndi n AAR 
-nouser 匹配 无 所 有 者 的 文件 
-nogroup 匹配 无 所 有 组 的 文件 
-newer f1 !f2 匹配 比 文件 f1 新 却 比 f2 旧 的 文件 
type b/d/c/p/V/f 匹配 文件 类 型 〈 块 设备 、 目 录 、 字 符 设备 、 管 道 、 链 接 文件 、 文 件 文件 ) 
—size 匹配 文件 的 大 小 〈+50k 查找 超过 50k 的 文件 ,而 -50k 则 代表 查找 小 于 50k 的 文件 ) 
-prune 忽略 某 个 目录 
exec 后 面 可 接 对 搜索 到 结果 进一步 处 理 的 命令 (下 面 会 有 演示 ) 


搜索 在 /etc/ 中 所 有 以 host 开头 的 文件 : 

其 中 的 ”host* ”表示 所 有 以 host 开头 的 文件 : 
[root@linuxprobe ~|# find /etc -name "host*" -print 
/etc/avahi/hosts 

/etc/host.conf 

/etc/hosts 
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/etc/hosts.allow 
/etc/hosts.deny 
/etc/selinux/targeted/modules/active/modules/hostname.pp 
/etc/hostname 
搜索 整个 系统 中 所 有 包含 SUID 的 文件 (A SUID 的 数字 表示 法 是 4， 而 减 号 表示 只 要 包含 即 可 )。 
[rootelinuxprobe ~|# find / -perm -4000 -print 
/usr/bin/fusermount 
/usr/bin/su 
/usr/bin/umount 
/usr/bin/passwd 
/usr/sbin/userhelper 
/usr/sbin/usernetctl 
找 出 用 户 linuxprobe 的 文件 并 复制 到 /root/findresults 目录 。 
重点 是 ”-exec 和}\;” 其 中 的 代表 find 命令 搜索 出 的 文件 ， 记 住 结尾 必须 是 \; 
[root@linuxprobe ~|# find / -user linuxprobe -exec cp -arf {} /root/findresults/ \; 
读者 们 ， 辛 将 了 ~ 你 们 有 没有 有 觉得 Linux 中 的 “命令 ” 真 的 很 方便 ? 下 章 中 将 会 正式 的 使 用 到 它们 ,做 好 准备 吧 ! 男 
外 大 家 也 几乎 见 到 了 所 有 Linux 系统 中 日 常用 到 的 命令 , 但 这 仅仅 是 打 好 基础 ， 为 了 今后 能 更 加 高 效 的 管理 主机 ,请 
一 定 要 学 习 后 来 的 Shell 脚本 课程 。 


本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 3 章 管道 符 、 重 定向 与 环境 变量 。 


章 市 概述 : 

Don’ tbeso excited! 虽 然 此 刻 您 已 经 学 完了 上 百 个 常用 Linux 命 令 , 但 如 前 面 所 说 :“ 光 用 命令 本 身 并 不 能 做 好 工作 ”。 
下 个 章节 将 学 习 Shell 脚本 的 使 用 方法 ， 所 以 本 章节 要 有 些 承 上 司 下 的 作用 ， 理 论 知 识 反 会 比较 多 ， 但 都 很 实用 。 

当 读 者 学 习 完 管道 命令 符 、 输 入 输出 重 定向 、 通 配 符 以 及 环境 变量 后 便 可 以 将 命令 组 合 的 更 加 恰当 、 高 效率 。 


管道 命令 符 “| ”的 作用 是 将 前 一 个 命令 的 标准 输出 当 作 后 后 一 个 命令 的 标准 输入 ， 格 式 为 “命令 人 A| 今 令 B 。 

例如 前 面 章节 学 习 的 grep 命令 (文本 搜索 命令 ), 通过 匹配 关键 词 ”/sbin/nologin“ 找 出 了 所 有 被 限制 登陆 系统 的 用 
户 ， 如 果 我 们 希望 统计 所 有 不 允许 登陆 系统 的 用 户 个 数 ， 该 怎么 做 那 ( 仅 可 用 一 条 命令 )? 

首先 理 清 思 路 : 

找 出 被 限制 登陆 用 户 的 命令 是 :grep “/sbin/nologin” /etc/passwd 

统计 文本 行 数 的 命令 则 是 :wc -| 

现在 要 做 的 是 就 是 将 搜索 命令 的 输出 值 传递 给 统计 命令 ， 其 实 只 要 把 管道 符 夹 在 中 间 就 可 以 了 。 

[rootelinuxprobe ~]# grep "/sbin/nologin' /etc/passwd | wc -l 

33 

很 厉害 的 功能 吧 ! 我 们 将 原本 将 会 显示 到 屏幕 上 的 用 户 信息 列表 交 给 ”wc -1“ 命 令 做 了 进一步 的 加 工 , 简直 太 方便 了 1 
用 翻 页 的 形式 查看 /etc 目录 中 有 那些 文件 : 

[rootelinuxprobe ~]# ls -l /etc/ | more 

total 1400 


向 linuxprobe 用 户 发 送 一 封 邮件 : 

[rootelinuxprobe ~]# echo "Content" | mail -s "Subject" linuxprobe 
切换 至 linuxprobe f P : 

[rootelinuxprobe ~|# su - linuxprobex 

Last login: Fri Jul 10 09:44:07 CST 2015 on :0 

查看 邮件 箱 ， 果 然 有 一 封 邮件 哦 : 

[linuxprobeelinuxprobe -]$ mail 

Heirloom Mail version 12.5 7/5/10. Type ? for help. 
"/var/spool/mail/linuxprobe": 1 message 1 new 

>N 1 root Sun Aug 30 17:33 18/578 "Subject" 

使 用 非 交 互 式 设 置 用 户 密码 ， 将 root 的 密码 修改 为 linuxprobe. 
[root@linuxprobe ~]# echo "linuxprobe" | passwd --stdin root 
Changing password for user root. 


passwd: all authentication tokens updated successfully. 


当然 读者 们 可 不 要 误解 管道 命令 符 只 能 用 一 次 哦 ， 完 全 可 以 这 样 用 : “RA ARA BRAC. 
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3.2 输入 输出 重 定向 


在 学 习 标 准 输 入 输出 重 定 向 前 ， 我 们 先 看 一 个 简单 的 演示 吧 : 

查看 linuxprobe 目录 的 信息 : 

[root@linuxprobe ~|# Is linuxprobe/ 

查看 xxxxxx 目录 的 信息 : 

[root@linuxprobe ~|# ls xxxxxx/ 

Is: cannot access xxxxxx: No such file or directory 

刚刚 我 们 先 查看 了 一 个 名 为 linuxprobe 目录 内 的 文件 , 后 又 党 试 查看 名 为 ”XXXXXX” 目 录 内 的 文件 , 显示 该 目录 并 不 存在 。 
虽然 好 像 命令 都 执行 成 功 了 ， 但 其 实 有 所 差异 ， 前 者 执行 后 返回 的 是 标准 输出 ， 而 后 者 执行 失败 返回 的 是 错误 输出 。 
标准 输入 (STDIN， 文 件 描述 符 为 0): 默认 从 键盘 输入 ， 为 0 时 表示 是 从 其 他 文件 或 命令 的 输出 。 

标准 输出 (STDOUT， 文 件 描 述 符 为 1): 默认 输出 到 屏幕 ， 为 1 时 表示 是 文件 。 

错误 输出 (STDERR， 文 件 描述 符 为 2): 默认 输出 到 屏幕 ， 为 2 时 表示 是 文件 。 





对 于 输出 重 定向 符 有 这 些 情况 : 

EA 作用 

ee 将 标准 输出 重 定向 到 一 个 文件 中 (清空 原 有 文件 的 数据 ) 

$4 2» x1t 将 错误 输出 重 定向 到 一 个 文件 中 (清空 原 有 文件 的 数据 ) 
人 将 标准 输出 重 定向 到 一 个 文件 中 (追加 到 原 有 内 容 的 后 面 ) 
命令 2>> 文件 将 错误 准 输出 重 定向 到 一 个 文件 中 (追加 到 原 有 内 容 的 后 面 ) 
TA »» Xft 2»$1 将 标准 输出 与 错误 输出 共同 写 入 到 文件 中 GE Jm BIRA LC JT) 
对 于 输入 重 定向 有 这 些 情 况 : 

符号 作用 

命令 文件 将 文件 作为 命令 的 标准 输入 

qr cc RS 从 标准 输入 中 读 入 ， 直 到 遇见 “分 界 符 ” 才 停止 
人 人 2 将 文件 1 作为 命令 的 标准 输入 并 将 标准 输出 到 文件 2 


那么 来 做 几 个 输出 和 输入 重 定 向 的 实验 吧 : 

将 man 命令 的 帮助 文档 写 入 到 /root/man.txt 中 : 

[root@linuxprobe -]* man bash > /root/man.txt 

向 readme.txt 文件 中 写 入 一 行文 字 : 

[rootelinuxprobe ~|# echo "Welcome to LinuxProbe.Com'" > readme.txt 

向 readme.txt 中 追加 一 行文 字 : 

[root@linuxprobe ~|# echo "Quality linux learning materials" >> readme.txt 
查看 readme.txt 中 的 内 容 : 

[root@linuxprobe ~|# cat readme.txt 

Welcome to LinuxProbe.Com 


Quality linux learning materials 
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把 readme.txt 文件 作为 输入 重 定向 给 wc -| 命令 来 计算 行 数 ， 命 令 等 同 于 “cat readme.txt | wc -1” 
[root@linuxprobe ~|# wc -l < readme.txt 
2 
用 echo. mail 和 和 管道 符 命令 (|) 发 给 linuxprobe 用 户 一 封 邮 件 ， 但 内 容 只 能 有 一 句 话 。 


[rootelinuxprobe ~]# echo "Content" | mail -s "Subject" linuxprobe 


如 果 您 想像 写 信 一 样 发 邮件 ， 就 用 输入 重 定 向 试 试 吧 ， 向 指定 邮箱 发 送 一 封 邮 件 ， 标 题 为 Readme， 内 容 逐 行 输入 。 
其 中 的 over 被 称 为 分 节 符 ， 是 用 户 自 定义 的 ， 当 系统 遇 到 这 个 分 界 符 时 会 认为 输入 结 

[rootelinuxprobe ~|# mail -s "Readme" rootelinuxprobe.com << over 

> think linux is very practical 

» | hope to learn more 

» can you teach me ? 

> Over 

正常 情况 下 输入 分 界 符 后 会 结束 输入 操作 并 发 送 邮件 ， 不 会 有 报错 信息 。 

[root@linuxprobe i 

这 次 咱们 还 是 用 ” ls” 命令 查看 文件 信息 ， 若 文件 不 存在 则 将 报错 信息 输出 到 /root/stderr.txt 中 : 

[root@linuxprobe pi Is linuxprobe 2» /root/stderr.txt 

-rw-r--r--. 1 root root O Mar 1 13:30 linuxprobe 

文件 为 空 ， 代 表 上 面 命令 并 没有 报错 : 

[rootelinuxprobe ~|# cat /root/stderr.txt 

将 查看 XXXXXX 目录 命令 的 错误 信息 输出 到 /root/stderr.txt 文件 中 : 

[root@linuxprobe ~|# ls xxxxxx 2» /root/stderr.txt 

查看 到 stderr.txt 文件 中 保存 的 ls 命令 报错 信息 

[root@linuxprobe ~|# cat /root/stderr.txt 

Is: cannot access xxxxxx: No such file or directory 

因为 ”linuxprobe” 的 文件 确实 存在 ， 所 有 没有 报错 信息 ， 但 ”XXXXXX” 文 件 是 不 存在 的 ， 所 以 则 将 报错 信息 输出 到 

了 指定 的 文件 。 


3.3 命令 行 通配符 


例如 我 们 想 对 一 类 文件 批量 操作 ， 例 如 批量 查看 硬盘 文件 属性 ， 那 么 正常 命令 会 是 : 
[root@linuxprobe ~|# ls /dev/sda 

[rootelinuxprobe ~|# Is /dev/sdal 

[rootelinuxprobe ~|# ls /dev/sda2 

[root&linuxprobe ~|# ls /dev/sda3 


但 有 些 时 候 确实 不 知道 分 区 的 个 数 或 分 区 号 , 这 时 候 就 要 用 到 通配符 来 搞定 了 , Bash TUÉS EN SCIRE ZPO OCIO BOE 8.48 : 


通配符 含义 


TÈ 


s Vo B5 ARA 3X e SEES 
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> 匹配 任意 单个 字符 。 
[0-9] 匹配 范围 内 的 数字 。 
[abc] 匹配 已 出 的 任意 字符 。 


查看 sda 开头 的 所 有 设备 文件 : 
[root&linuxprobe ~|# ls /dev/sda* 

/ dev/sda /dev/sdal /dev/sda2 

查看 sda 后 面 有 一 个 字符 的 设备 文件 : 
[root@linuxprobe ~|# ls /dev/sda? 
/dev/sdal /dev/sda2 

查看 sda 后 面包 含 0-9 数字 的 设备 文件 : 
[root@linuxprobe ~|# ls /dev/sda[0-9| 
/dev/sdal /dev/sda2 

查看 sda 后 面 是 1 或 3 或 5 的 设备 文件 : 
[root@linuxprobe ~|# ls /dev/sda[135] 


/dev/sdal 

为 外 bash 解释 硕 还 支持 很 多 的 特殊 字符 扩展 : 
字符 作用 
N\( 反 和 斜 杠 ) 转 义 后 面 单个 字符 
“( 单 引号 ) 转 义 所 有 的 字符 
”( 双 引号 ) 变量 依然 生效 
"(B 引号) 执行 命令 语句 


定义 名 称 为 PRICE 的 变量 值 为 5: 

[root@linuxprobe ~|# PRICE-5 

想 要 输出 ”价格 是 5 : 

[root@linuxprobe ~]# echo "Price is $PRICE" 

Price is 5 

想 要 输出 ”价格 是 $5 ， 但 因为 美元 符号 与 代表 变量 取 值 的 $ 符 号 冲突 了 ， 所 以 报错 了 : 
[root@linuxprobe ~]# echo "Price is $$PRICE" 

Price is 3767PRICE 

添加 一 个 反 斜 枉 ， 将 第 一 个 $ 符 号 转 义 : 

[root@linuxprobe ~]# echo "Price is \$$PRICE" 

Price is $5 

使 用 单 引 号 ， 变 量 将 不 再 被 取 值 : 

[root@linuxprobe ~]# echo "Price is \$$PRICE 

Price is \$$PRICE 

执行 uname -a 后 可 以 查看 到 本 机 内 核 的 版 本 与 架构 信息 ( 反 引 号 里 面 的 命令 会 被 执行 ): 


[root@linuxprobe ~|# echo ‘uname -a' 
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Linux linuxprobe.com 3.10.0-123.el7.x86. 64 #1 SMP Mon May 5 11:16:57 EDT 2014 x86. 64 x86. 64 x86 64 


第 61 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


GNU/Linux 


3.4 实用 的 PATH 变量 


alias 命令 用 于 设置 命令 的 别名 ， 格 式 为 : “alias 别名 = 命令 ”。 
例如 担心 复制 文件 时 误 将 文件 覆盖 ， 那 么 执行 alias cp=”cp -i” 则 每 次 覆盖 都 会 询问 用 户 。 
unalias 命令 用 于 取消 命令 的 别名 ， 格 式 为 : “unalias 别名 ”。 
设置 cp 命令 的 别名 : 
[root@linuxprobe ~|# alias cp="cp -i' 
取消 cp 命令 的 别名 : 
[root@linuxprobe ~|# unalias cp 
如 同 前 面 所 讲 的 一 一 在 Linux 中 所 有 的 一 切 都 是 文件 ， 命 令 文件 也 不 例外 。 那 当 用 户 执 行 了 一 条 ”ls“ 命 令 后 发 生 
了 什么 事情 ? 
步骤 一 :如 果 是 以 绝对 /相对 路 径 输 入 的 命令 则 直接 执行 (如 执行 /bin/1s)。 
步骤 二 :检查 是 否 为 alias 别名 命令 。 
步骤 三 :由 bash 判断 其 是 “内 部 命令 ”还 是 “外 部 命令 ”。 
内 部 命令 : 属于 解释 器 内 部 的 
外 部 命令 : 独立 于 解释 器 外 的 命令 文件 
步骤 四 : 通过 $PATH 变量 中 定义 的 路 径 进 行 命令 查找 。 
查看 $PATH 变量 的 方法 :echo $PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin 
如 果 您 想 知道 某 个 命令 是 “内 部 命令 ”还 是 “外 部 命令 ”? 执行 执行 “type 命令 名 字 ”， 解 释 改 就 会 告诉 你 哆 ~ 
$PATH 变量 是 “解释 融 的 助手 ”， 它 人 负责 告诉 bash 用 户 要 执行 的 命令 可 能 存放 在 那里 ， 然 后 bash Xia dede NER 
些 目录 里 寻找 。 
在 变量 $PATH 中 目录 之 间 用 冒号 “:” 间 隔 开 了 ， 当 然 您 也 能 自 定 义 一 些 命令 存放 目录 ， 比 如 /root/bin。 
查看 当前 的 $PATH 变量 内 容 : 
[root@linuxprobe ~]# echo $PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin 
为 变量 增加 新 的 值 : 
[rootelinuxprobe ~|# PATH=$PATH:/root/ bin 
查看 此 时 的 $PATH 变量 内 容 : 
[root@linuxprobe ~]# echo $PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin:/root/ bin 
谨慎 而 有 经 验 的 运 维 人 员 在 接手 一 台 Linux 系统 后 一 定 会 在 执行 命令 前 查看 下 $PATH 变量 中 是 否 有 可 疑 的 目录 。 














3.5 重要 的 环境 变量 


上 面 学 到 的 $PATH 是 不 是 很 实用 ? 在 Linux 系统 中 还 有 许多 重要 的 环境 变量 ， 我 们 可 以 用 env 命令 查看 到 它们 。 
变量 是 由 固定 的 “变量 名 ”与 用 户 或 系统 设置 的 “变量 值 ”两 部 分 组 成 的 ， 如 果 有 需求 可 直接 修改 ~ 


X E A 作用 
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HOME 用 户 的 主 目录 “家 ”。 
SHELL 当前 的 shell 是 哪个 程序 
HISTSIZE 历史 命令 记录 条 数 
MAIL 邮件 信箱 文件 

LANG 语系 数据 

RANDOM 随机 数字 

PS1 bash 提示 符 
HISTFILESIZE history 命令 存储 数量 
PATH 在 路 径 中 的 目录 查找 执行 文件 
EDITOR 默认 文本 编辑 器 

HOME 用 户主 目录 


让 我 们 通过 变量 来 查看 下 当前 用 户 的 家 目录 是 那个 吧 。 
因为 当前 是 以 root 用 户 登 陆 ， 所 以 显示 为 /root: 
[root@linuxprobe ~|# echo $HOME 

/root 

切换 到 linuxprobe 用 户 : 

[root@linuxprobe ~|# su - linuxprobe 

Last login: Fri Feb 27 19:49:57 CST 2015 on pts/O 
切换 为 linuxprobe 用 户 后 ， 同 样 的 ”$HOME” 变 量 却 显示 出 了 不 同 的 值 : 
[linuxprobe@linuxprobe -]$ echo $HOME 
/home/linuxprobe 

假设 需要 设置 一 个 变量 ”WORKDIR“， 让 每 个 用 户 执行 ”cd $WORKDIR“ 都 登陆 到 /home/workdir 目录 中 ， 该 如 
何 做 那 ? 

定义 方法 : 变量 名 称 = 新 的 值 

查看 方法 : echo $ 变 量 名 称 

创建 该 目录 : 

[root@linuxprobe -]* mkdir /home/workdir 

如 前 面 所 介绍 的 方法 设置 变量 : 

[root@linuxprobe ~|# WORKDIR-/home/workdir 
成 功 切 换 ， 好 棒 ! 

[root@linuxprobe ~]# cd $WORKDIR 
[root@linuxprobe workdirj# pwd 

/home/workdir 

切换 到 linuxprobe 用 户 : 


[root@linuxprobe workdirj# su - linuxprobe 


(Linux 就 该 这 么 学 》  HTTP://www.linuxprobe.com 


Last login: Fri Mar 20 20:52:10 CST 2015 on pts/0 

好 奇怪 ， 为 什么 没有 切换 到 /home/workdir B 3x96: 

[linuxprobe@linuxprobe ~]$ cd $ WORKDIR 

用 echo 查看 发 现 该 变量 为 空 值 : 

[linuxprobeelinuxprobe -|$ echo $WORKDIR 

现在 的 问题 是 为 什么 某 个 用 户 设置 的 环境 变量 不 能 被 其 他 用 户 使 用 ? 原因 就 在 于 变量 的 作用 范围 。 
export 命令 用 于 将 局 部 变量 提升 为 全 局 变量 ， 格 式 为 : "export 变量 名 [= 变量 值 ]”。 
将 WORKDIR 变量 设置 为 全 局 变量 : 

[rootelinuxprobe ~|# export WORKDIR 

切换 为 linuxprobe 用 户 : 

[root@linuxprobe workdirj# su linuxprobe 

Last login: Fri Mar 20 21:52:10 CST 2015 on pts/O 

很 棒 哦 ~ 成 功 的 切换 了 目录 : 

[linuxprobe@linuxprobe -]$ cd $WORKDIR 

[linuxprobeelinuxprobe workdir] $5pwd 


/home/workdir 
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DASS 


第 4 章 Vim 编辑 器 与 Shell 命令 脚本 。 


章节 简 述 : 

本 章节 将 教 给 您 如 何 使 用 Vim 编辑 器 来 编写 文档 、 配 置 主机 名 称 、 网 卡 参数 以 及 yum 仓库 , 熟练 使 用 各 个 模式 和 命令 快捷 键 。 
我 们 可 以 通过 Vim 编辑 器 将 Linux 命令 放 入 合适 的 逻辑 测试 语句 (这 for、while、case) 后 最 终 写 出 简单 实用 的 Shell 脚本 。 
还 可 以 通过 使 用 at 命令 或 配置 Crontab 计划 任务 服务 让 系统 自动 按时 工作 ， 让 日 常 工作 更 加 的 高 效 自动 化 ， 一 劳 永 询 哦 ~ 











4.1 了 解 Vim 文本 编辑 器 


在 Linux 系统 中 配置 应 用 服务 ， 实 际 上 就 是 在 修改 它 的 配置 文件 〈 配 置 文件 可 能 有 多 个 ， 其 中 包含 不 同 的 参数 )， 
而 且 日 常 工作 中 也 一 定 免不了 编写 文档 的 事情 吧 ， 这 些 都 是 要 通过 文本 编辑 器 来 完成 的 。 

在 热门 Linux 操作 系统 中 都 会 默认 安装 一 款 超 好 用 的 文本 编辑 器 一 6 7| "vim" , vim 是 vi 编辑 器 的 升级 版 。 
Vim 能 够 得 到 这 么 多 厂商 与 用 户 的 认可 ,原因 就 是 在 Vim 编辑 器 中 有 三 种 模式 一 一 命令 模式 .未 行 模式 和 编辑 模式 ， 
分 别 又 有 多 种 不 同 的 命令 快捷 键 组 合 ， 很 大 的 提高 了 工作 效率 ， 用 习惯 后 会 觉得 非常 的 顺手 。 要 想 在 文本 操作 时 更 加 
高 效率 ， 我 们 必需 先 搞 清 Vim 编辑 器 的 三 种 模式 的 操作 不 同 与 切换 方法 。 

命令 模式 : 控制 光标 移动 ， 可 对 文本 进行 删除 、 复 制 、 闲 贴 等 工作 。 

输入 模式 : 正常 的 文本 录入 。 

末 行 模式 : 保存 、 退 出 与 设置 编辑 环境 。 

记 住 每 次 运行 vim 编辑 器 后 都 默认 是 “命令 模式 ”， 需 要 先进 入 到 “输入 模式 ”后 再 进行 编写 文档 的 工作 ， 而 每 次 
编辑 完成 需 先 返 回 到 “命令 模式 ”后 再 进入 “ 末 行 模式 ”对 文本 的 保存 或 退出 操作 。 











这 里 为 大 家 总 结 出 了 最 常用 的 快捷 键 命令 ， 读 者 尽量 记 一 下 ， 筷 记 了 来 查 也 可 以 ， 至 于 “输入 模式 ” 则 没有 特殊 技巧 。 
vim 编辑 器 的 命令 模式 中 常用 的 快捷 键 


命令 作用 

dd 删除 (前 切 ) 光 标 所 在 整 行 。 

5dd 删除 ( 剪 切 ) 从 光标 处 开始 的 5 行 。 
yy 复制 光标 所 在 整 行 。 


5yy 复制 从 光标 处 开始 的 5 行 。 
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p 将 之 前 删除 (dd) 或 复制 (yy) 过 的 数据 粘贴 到 光标 后 。 
/ 3 45 在 文本 中 从 上 至 下 搜索 该 字符 串 。 

P3 在 文本 中 从 下 至 上 搜索 该 字符 串 。 

n 显示 搜索 命令 定位 到 的 下 一 个 字符 串 。 

N 显示 搜索 命令 定位 到 的 上 一 个 字符 串 。 

u 撤销 上 一 步 的 操作 

vim 编辑 器 的 末 行 模式 中 的 种 用 命令 

人 作用 

W 保存 

q 退出 

:q! 强制 退出 (放弃 对 文本 的 修改 内 容 ) 
wq! 强制 保存 退出 

:set nu 显示 行 号 

:set nonu 不 显示 行 号 

:命令 执行 该 命令 

:整数 跳 转 到 该 行 

需要 读者 注意 的 两 点 : 


1 .在 命令 模式 与 末 行 模式 中 ， 所 有 的 快捷 键 参数 均 区 分 大 小 写 。 
2. 在 末 行 模式 中 所 有 快捷 键 参数 前 都 有 一 个 冒号 ”: 


4.1.1 编写 简单 文档 
现在 动手 编写 一 个 文档 吧 、 我 会 把 每 个 步骤 和 按键 尽量 都 标注 出 来 , 如 果 命 令 忘 记 了 就 回 到 上 面 小 节 再 看 看 吧 ~ 超 简单 ! 


《Linux WIZ IXA 5E) 


第 ] 步 : 创建 文档 


有 
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5 22b: 敲 击 字母 “a”， 进 入 输入 模式 。 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


[root@linuxprobe Desktop]# vim practice .txt 





第 35: 输入 一 行 字 符 。 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal 
You can write in it . 国 


Help 


-- INSERT -- 





1,21 ALL 
& 。 - . à 
ROP Bus: wq ， 保 存 并 退出 。 
root()linuxprobe:*/Desktop le ux 
File Edit View Search Terminal Help 


fou can write in it. 


:wq! 











root()linuxprobe:*/Desktop - | Bux 
File Edit View Search Terminal Help 
l 
-- INSERT -- 0,1 All 
A €x y > 
8 4: 敲 击 [ESC] 返 回 到 命令 模式 。 
root@linuxprobe:~/Desktop m: 
File Edit View Search Terminal Help 
You can write in it. 
1,20 All 


第 6 步 : 查看 文档 的 内 容 。 


root@linuxprobe:~/Desktop -|o | xX 





File Edit View Search Terminal Help 


[root@linuxprobe Desktop]# vim practice.txt 
[root@linuxprobe Desktop]# cat practice.txt 
fou can write in it. 

[rootaülinuxprobe Desktop]# 
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第 7 步 : 编辑 文件 。 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


` root@linuxprobe Desktop]# vim practice.txt 
` root@linuxprobe Desktop]# cat practice.txt 
fou can write in it. 

:rootülinuxprobe Desktop]£ vim practice.txt 


第 9: 输入 一 行 字 符 。 


LL 
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第 8 步 : 敲 击 字母 “o0”， 进 入 到 输入 模式 。 


root@linuxprobe:~/Desktop -ID Xx 





File Edit View Search Terminal Help 
fou can write in it. 


-- INSERT -- 2,1 All 





第 103^: 返回 命令 模式 后 尝试 “: q” 退 出 不 保存 。 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


fou can write in it. 
[his Sentenc don't need to save 


第 11 步 : 提示 内 容 已 被 修改 ， 不 能 退出 。 


ALL 


root(glinuxprobe:*/Desktop -= | 口 | 关 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 





€ 1235: Bh “i ql” 后 强制 退出 不 保存 。 





root@linuxprobe:~/Desktop - IDO|xXx 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 


第 
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root()linuxprobe:*/Desktop 


File Edit View Search Terminal Help 第 13 F: 查看 文档 ， 发 现 第 二 句 确 实 没 保 存 。 


fou can write in it. 
This Sentence don't need to save 3 
root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
.rootülinuxprobe Desktop]# vim practice.txt 
.root(ülinuxprobe Desktop]# cat practice.txt 
fou can write in it. 
.rootülinuxprobe Desktop 
.rootülinuxprobe Desktop 
fou can write in it. 
.rootülinuxprobe Desktop]£ E 


# vim practice.txt 
# cat practice.txt 








] 
] 
] 
] 





o write since last change (add ! to 


4.1.2 配置 主机 名 称 
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21 RHEL7 系统 的 主机 名 称 保存 在 /etc/hostname 文件 中 ， 我 们 要 想 将 其 修改 为 ”linuxprobe.com“， 思 路 大 致 如 下 : 


第 1 步 :使 用 vim 命令 修改 ”/etc/hostname“ 主 机 名 称 文件 。 

第 2 步 :将 原始 主机 名 称 删除 后 氨 加 ”linuxprobe.com “。 

第 3 步 :保存 退出 并 用 hostname 命令 检查 是 否 修改 成 功 。 

使 用 vim 命令 编辑 主机 名 称 文件 后 末 行 模式 执行 :Wwq! 后 即 可 保存 退出 : 
[root@linuxprobe ~|# vim /etc/hostname 

linuxprobe.com 

使 用 hostname 命令 查看 当前 的 主机 名 称 : 

[root@linuxprobe ~|# hostname 


linuxprobe.com 


4.1.3 配置 网 卡 信息 


既然 已 经 会 用 vim 编辑 器 了 , 快 来 试 试 配置 你 的 Linux 系统 网 卡 吧 , 不 把 网 卡 先 配置 妥当 就 不 能 与 其 他 机 融通 信 的 。 
在 红 帽 RHEL6 系统 中 网 卡 配置 文件 的 前 缀 为 ”eth”， 第 1 块 即 为 ”eth0O”， 第 2 块 即 为 ”eth1” 并 依 此 类 推 …… 


而 在 红 帽 RHEL7 系统 中 网 卡 配 置 文件 的 前 缀 则 为 ”ifcfg-eno“， 例 如 ”ifcfg-eno16777736 。 
网 卡 的 配置 文件 存放 在 “/etc/sysconfig/network-scripts” 目 录 中 。 
在 修改 配置 文件 前 ， 先 来 学 些 关 键 词 术语 吧 : 
网 卡 类 型 :TYPE=Ethernet 
地 址 分 配 模式 :BOOTPROTO=static 
网 卡 名 称 :NAME=eno16777736 
是 否 启 动 :ONBOOT=yes 
IP 地 址 :IPADDR=192.168.10.10 
d W 4&5: NETMASK-255.255.255.0 
网 关 地 址 :GATEWAY=192.168.10.1 
DNS 地 址 :DNS1=192.168.10.1 
上 面 的 网 卡 配置 文件 代表 着 “这 是 一 个 以 太 网 卡 设备 , 名 称 为 ”eno16777736” 且 开机 自动 启动 ,IP 地址 等 信 
配置 网 卡 信 息 前 先 来 理 清 思路 : 
第 1 步 :首先 我 们 要 切换 到 ”/etc/sysconfig/network-scripts“ 目 录 中 (该 目录 存放 着 网 卡 的 配置 文件 )。 
第 2 步 :使 用 vim 命令 修改 文件 ”ifcfg-eno16777736 “。 


息 需 由 人 工 才 
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第 3 步 : 逐 项 写 入 配置 参数 ， 并 保存 退出 。 
第 4 步 :重新 启动 网 卡 命令 :”systemctl restart network ". 
第 5 步 :通过 ping 命令 测试 网 卡 信息 是 否 生效 。 
切换 到 网 卡 配置 文件 所 在 的 目录 : 
[root@linuxprobe ~|# cd /etc/sysconfig/network-scripts/ 
编辑 网 卡 配置 文件 并 填 入 下 面 的 信息 : 
[root@linuxprobe network-scripts|# vim ifcfg-eno16777736 
TYPE=Ethernet 
BOOTPROTOestatic 
NAMEzeno16777736 
ONBOOT-yes 
IPADDR-192.168.10.10 
NETMASK-255.255.255.0 
GATEWAY-192.168.10.1 
DN$S12192.168.10.1 
重新 启动 网 卡 ， 正 和 常情 况 不 会 提示 信息 : 


[root@linuxprobe network-scripts|# systemctl restart network 


不 错 哦 ， 成 功 的 ping 通 证 明 网 卡 配置 正确 并 生效 了 : 
[root@linuxprobe network-scripts|# ping 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

64 bytes from 192.168.10.10: icmp. seq-1 ttl=64 time-0.081 ms 
64 bytes from 192.168.10.10: icmp. seq-2 ttl=64 time-0.083 ms 
64 bytes from 192.168.10.10: icmp. seq-3 ttl=64 time-0.059 ms 
64 bytes from 192.168.10.10: icmp. seq-4 ttl=64 time-0.097 ms 
^C 

--- 192.168.10.10 ping statistics --- 

4 packets transmitted, 4 received, 096 packet loss, time 2999ms 
rtt min/avg/max/mdev - 0.059/0.080/0.097/0.013 ms 


4.1.4 WE Yum 仓库 


既然 对 vim 编辑 属 的 理论 已 经 学 扎实 ， 现 在 就 来 动手 配置 下 Yum 仓库 吧 ~ 先 来 理 清 思 
第 1 步 :首先 我 们 要 切换 到 ”/etc/yum.repos.d/“ 目 录 中 (因为 该 目录 存放 着 yum 仓库 的 配置 文件 ) 
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第 2 步 :使 用 vim 编辑 器 创建 并 打开 一 个 名 为 rhel7.repo 的 新 文件 ， 名 称 可 以 自 定义 ， 但 后 组 必需 为 repo. 


3 步 : 逐 项 写 入 配置 参数 ， 并 保存 退出 。 
4 步 : 按 配 置 参 数 的 路 径 将 光盘 挂 载 。 
第 5 步 :将 光盘 挂 载 信息 写 入 到 /etc/fstab 文件 中 。 
第 6 步 :使 用 ”yum install httpd -y“ 命 令 检 查 是 否 配置 正确 。 
切换 到 /etc/yum.repos.d 目录 中 : 
[root&linuxprobe ~|# cd /etc/yum.repos.d/ 
打开 Vim 界面 后 散 击 ”a ”进入 到 插入 模式 : 
编辑 完成 后 裔 击 [ESC] 并 在 末 行 模式 中 :wql! 保 存 并 退出 。 


第 70 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 

[root@linuxprobe yum.repos.d|# vim rhel7.repo 

[rhel7| 

name=rhel7 

baseurl=file:///media/cdrom 

enabled=1 

gpgcheck=0 
创建 挂 载 光 盘 的 目录 : 
[root@linuxprobe yum.repos.d|4 mkdir -p /media/cdrom 
仓库 提供 方式 为 本 地 ， 所 以 需要 将 光盘 挂 载 到 /media/cdrom 中 : 
[root@linuxprobe yum.repos.d|4 mount /dev/cdrom /media/cdrom 
mount: /dev/srO is write-protected, mounting read-only 
设置 成 开机 自动 挂 载 : 
[root@linuxprobe yum.repos.d]|4 vim /etc/fstab 
/dev/cdrom /media/cdrom iso9660 defaults O O 
测试 安装 ”httpd” 服 务 ， 出 现 “Complete” 则 代表 Yum 仓库 配置 正确 : 
[root@linuxprobe yum.repos.d|# yum install httpd 
Loaded plugins: langpacks, product-id, subscription-manager 
rhel7 | 4.1 kB 00:00 
(1/2): rhel7/group. gz | 134 kB 00:00 
(2/2): rhel7/primary. db | 3.4 MB 00:00 
Resolving Dependencies 


eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee eee ee e 


Complete! 


4.2 了 解 Shell 脚本 


我 曾经 将 Shell 形容 是 人 与 计算 机 硬件 的 “翻译 官 ”，Shell 作为 用 户 与 Linux 系统 通讯 的 媒介 ， 自 身 也 定义 了 各 种 
变量 与 参数 ， 并 提供 了 诸如 循环 、 分 支 等 高 级 语言 才 有 的 控制 结构 特性 。 如 何 正 确 的 使 用 这 些 功能 ， 准 确 下 达 命 令 就 


显得 尤为 重要 。 

Shell 的 工作 形式 分 为 两 种 

交互 式 (Interactive): 用 户 输入 一 条 命令 ，Shell We 

批 处 理 (Batchm): 用 户 事先 编写 一 个 Shell 脚本 (Script)， 其 中 包含 诸多 命令 ，Shell 会 一 次 执行 完 所 有 命令 。 


那么 大 家 在 前 面 学 习 Linux 命令 时 ， 大 致 就 是 属于 交换 式 Shell 脚本 是 将 各 种 命令 通过 逻辑 语句 组 合 而 成 的 程 
Æo Shel 脚本 需要 用 到 很 多 的 Linux 命令 以 及 结合 之 前 学 习 过 的 正则 表达 法 、 管 道 命令 以 及 数据 流 重 定向 等 语法 规 
则 来 完成 指定 任务 。 
查看 系统 中 所 有 可 用 的 Shell 解 杰 器 : 
[root@linuxprobe ~|# cat /etc/shells 

/bin/sh 

/bin/bash 

/sbin/nologin 

/usr/bin/sh 

/usr/bin/bash 


/usr/sbin/nologin 
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/ bin/tcsh 
/ bin/csh 
查看 当前 的 Shell ftt 5: 
[root@linuxprobe ~]# echo $SHELL 
/bin/bash 


4.2.1 编译 简单 的 脚本 
Shell 脚本 的 编写 要 使 用 到 Vim 文本 编辑 上 如， 按照 命令 的 执行 顺序 依次 编写 ， 每 行 写 一 条 Linux 命令 。 并 且 一 个 完 
的 Shell 脚本 则 应 该 包括 “脚本 声明 ”、“ 注 释 信 息 ” 和 “可 执行 语句 ”。 
脚本 声明 (#1): 告 知 系统 用 何 种 shell 来 解释 。 
注 释 信息 ( 圾 :对 可 执行 语 名 或 程序 功能 做 介绍 ， 可 以 不 写 。 
可 执行 语句 :执行 的 具体 命令 。 
先 来 编写 一 个 简单 的 Shell 脚本 吧 ， 功 能 是 显示 当前 的 工作 路 径 并 列 出 当前 目录 下 的 所 有 文件 与 属性 。 
[root@linuxprobe ~|# vim Example.sh 
#!/bin/bash 
#For Example BY linuxprobe.com 
pwd 
Is -al 
原来 编写 Shel 脚本 如 此 的 简单 ~ 执行 脚本 有 三 种 方法 : 
脚本 文件 路 径 :./Example.sh 
sh 脚本 文件 路 径 :sh Example.sh 
source 脚本 文件 路 径 :source Example.sh 
只 要 脚本 文件 路 径 没 有 写 错 ，Sh 或 source 命令 都 可 以 直接 执行 该 脚本 ， 但 直接 访问 脚本 路 径 的 方式 有 点 特殊 。 
使 用 直接 访问 脚本 路 径 的 方式 提示 出 现 错误 ， 权 限 不 足 : 
[root@linuxprobe ~|# ./Example.sh 
bash: ./Example.sh: Permission denied 
需要 为 脚本 设置 可 执行 权限 后 才能 顺利 运行 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
再 来 运行 就 没有 问题 了 : 
[root@linuxprobe ~|# ./Example.sh 
/root/Desktop 
total 8 
drwxr-xr-x. 2 root root 23 Jul 23 17:31 . 
dr-xr-x---. 14 root root 4096 Jul 23 17:31 .. 
-rWXr-T--. 1 root root 55 Jul 23 17:31 Example.sh 


4.2.2 接收 用 户 的 参数 
Shell 脚本 为 了 能 够 让 用 户 更 灵活 的 完成 工作 需求 ， 应 该 有 办 法 接收 用 户 输入 的 参数 ， 像 上 面 的 脚本 的 写法 真 的 很 不 灵活 。 
您 在 执行 命令 时 的 参数 是 不 是 像 这 样 使 用 : “命令 名 参数 1 参数 2 参数 3”， 所 以 其 实在 可 执行 文件 中 已 经 内 设 

了 接收 用 户 参 数 的 位 置 变 量 。 
$6， 第 6 个 位 置 参数 


[root@linuxprobe ~}# .Example.sh one two three four five six 


$1， 第 1 个 位 置 参 数 $2， 第 2 个 位 置 参数 





DASS 
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不 光 如 此 ， 还 有 这 些 已 经 被 定义 好 的 Shell 预定 义 变量 : 


$0 当前 执行 Shell 脚本 的 程序 名 。 

$1-9,${10},${1 1} 参数 的 位 置 变 量 。 

$4 一 共有 多 少 个 参数 。 

i 所 有 位 置 变量 的 值 。 

$? 判断 上 一 条 命令 是 否 执行 成 功 ，0 为 成 功 ， 非 0 为 失败 。 


好 的 ~ 来 动手 完成 一 个 可 以 接收 用 户 参 数 的 Shell 脚本 吧 : 
[root@linuxprobe ~|# vim Example.sh 

#!/bin/bash 

echo "当前 脚本 名 称 为 $0" 

echo "总 共有 $# 个 参数 ， 分 别 是 $*。”" 

echo "第 1 个 参数 为 $1， 第 5 个 为 $5。" 

使 用 sh 命令 来 执行 脚本 ， 并 附带 6 个 参数 : 
[root@linuxprobe ~|# sh Example.sh one two three four five six 
当前 脚本 名 称 为 Example.sh 

总 共有 6 个 参数 ， 分 别 是 one two three four five six 

第 1 个 参数 为 one， 第 5 个 为 five。 


4.2.3 判断 用 户 的 参数 


Shell 脚本 有 时 还 要 判断 用 户 输 入 的 参数 ， 例 如 像 mkdir 命令 一 样 ， 当 目录 不 存在 则 创建 ， 若 已 经 存在 则 报错 ， 条 
件 测试 语句 能 够 测试 特定 的 表达 式 是 否 成 立 ， 当 条 件 成 立时 返回 值 为 0， 否 则 返回 其 他 数值 。 





测试 博 句 格式 :[ 条 件 表达 式 ] 
两 边 均 应 有 一 个 空格 


细 分 测试 语句 有 :文件 测试 、 屈 辑 测试 、 整 数值 比较 、 字 符 溃 比较 。 
文件 测试 :[ 操作 符 文件 或 目录 名 ] 


操作 符 作用 

:d 测试 是 否 为 目录 。 

-e 测试 文件 或 目录 是 否 存 在 。 

i 判断 是 否 为 文件 。 

T 测试 当前 用 户 是 否 有 权限 读 取 。 
Aw 测试 当前 用 户 是 否 有 权限 写 入 。 
-X 测试 当前 用 户 是 否 有 权限 执行 。 


测试 /etc/fstab 是 否 为 目录 : 
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[root@linuxprobe ~|# | -d /etc/fstab | 
显示 上 一 条 命令 的 返回 值 ， 非 0 则 为 失败 ， 即 不 是 目录 : 
[rootelinuxprobe ~]# echo $? 
1 
测试 /etc/fstab 是 否 为 文件 : 
[root@linuxprobe ~|# | -f /etc/fstab | 
显示 上 一 条 命令 的 返回 值 为 0， 即 fstab 是 文件 : 
[root@linuxprobe ~]# echo $? 
O 

符号 && 代 表 逻 辑 上 的 ”与 “， 当 前 面 的 命令 执行 成 功 才 会 执行 后 面 的 命令 ， 判 断 /dev/cdrom 设备 是 否 存 在 ， 若 存 
在 则 输出 Exist: 
[root@linuxprobe ~|# | -e /dev/cdrom | && echo "Exist" 


Exist 
EEMI 表达 式 1 ] 操作 符 [ 表达 式 2 |] 
操作 符 作用 
&& 逻辑 的 与 ，" 而 且 " 的 意思 。 


| ZANR, "RENARE 


| ZANT 


USER 变量 是 当前 登陆 的 用 户 名 : 
[root@linuxprobe ~]# echo $USER 
root 
若 当 前 登陆 的 用 户 不 是 root， 则 输出 user， 执 行 后 结果 为 空 : 
[rootelinuxprobe -]* | $USER != root | && echo "user" 
登入 用 户 linuxprobe， 再 来 测试 便 输出 了 user 字样 : 
[root@linuxprobe ~|# su linuxprobe - 
[linuxprobeelinuxprobe root|$ [ $USER != root | && echo "user" 
user 
换 回 root 用 户 后 用 加 强 版 的 判断 语句 ， 非 root 用 户 则 输出 user, dX root 则 直接 输出 root: 
[rootelinuxprobe ~]# [ $USER != root | && echo "user" || echo "root" 
root 
里 请 读者 思考 下 && 与 || 的 逻辑 含义 ， 因 为 前 面 的 && 不 成 立 ， 所 有 后 面 的 || 才 会 执行 。 
整数 值 比较 :[ 整数 1 操作 符 整数 2 |] 


操作 符 作用 
-eq 判断 是 否 等 于 
-ne 判断 是 否 不 等 于 


Bt 判断 是 否 大 于 
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t 判断 是 否 小 于 
-le 判断 是 否 等 于 或 小 于 
-ge 判断 是 否 大 于 或 等 于 


比较 10 X XT 10: 

[rootelinuxprobe -]* [ 10 -gt 10 | 

显示 上 一 条 命令 执行 失败 ，10 不 大 于 10: 

[rootelinuxprobe ~]# echo $? 

1 

比较 10 是 否 等 于 10: 

[rootelinuxprobe -]* | 10 -eq 10 | 

显示 上 一 条 命令 执行 成 功 ，10 等 于 10: 

[root@linuxprobe ~]# echo $? 

O 

获取 当前 可 用 的 内 存量 ， 并 将 此 值 赋 值 给 变量 FreeMem, X AER TE 
首先 用 free -m 查看 以 m 为 单位 的 内 存 使 用 情况 , 然后 grep cache: 过 滤 出 剩 你 内存 的 行 ,最 后 用 awk “{print $3] 
过 滤 只 保留 第 三 列 ， 而 FreeMem=' 语 句 ' 则 表示 执行 里 面 的 语句 后 赋值 给 变量 。 
[rootelinuxprobe ~]# FreeMem-free -m | grep cache: | awk ‘{print $3)" 

验证 变量 是 否 已 经 获得 可 用 内 存量 : 

[rootelinuxprobe ~|# echo $FreeMem 

609 





判断 此 值 是 否 小 与 1024( 单 位 是 M)， 老 小 于 则 提示 内 存 不 足 : 
[root@linuxprobe ~|# | $FreeMem -lt 1024 | && echo "Insufficient Memory" 


Insufficient Memory 


字符 串 比 较 :[ 字 符 串 1 STER 字符 串 2] 
操作 符 作用 


比较 字符 串 内 容 是 否 相 同 。 
E 比较 字符 串 内 容 是 否 不 同 。 


-Z 判断 字符 串 内 容 是 否 为 空 。 


判断 String 变量 是 否 为 空 值 : 

[rootelinuxprobe ~]# | -z $String | 

上 一 条 命令 执行 成 功 ， 说 明 变 量 String 确实 为 空 值 : 
[rootelinuxprobe ~]# echo $? 

O 

输出 当前 的 系统 语言 : 

[root@linuxprobe -]£ echo $LANG 

en US.UTF-8 

判断 当前 的 系统 语言 是 否 为 英文 ， 否 则 输出 “不 是 英语 ”: 
[rootelinuxprobe ~|# [| $LANG != "en.US" | && echo "Not en.US* 
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Not en.US 


4.3 条 件 测试 语句 


条 件 测试 语句 能 够 让 Shell 脚本 根据 实际 工作 灵活 调整 工作 内 容 ， 例 如 判断 系统 的 状态 后 执行 指定 的 工作 ， 或 创建 指 

定数 量 的 用 户 ， 批 量 修改 用 户 密码 ， 这 些 都 可 以 让 Shell 脚本 通过 条 件 测试 语句 完成 。 

if A TEE] 

让 条 件 语句 分 为 单 分 支 结构 、 双 分 支 结构 、 多 分 支 结构 ， 复 杂 度 逐 级 上 升 ， 但 却 可 以 让 Shell 脚本 更 加 的 灵活 。 
首先 来 说 单 分 支 结 构 ， 仅 用 过 then、 和 关键 词组 成 ， 只 在 条 件 成 立 后 执行 。 


洗 单 分 支 结构 
um. 





if 条件 测 试 操 作 if 目录 不 存在 
then 命令 序列 ) then 创建 该 目录 
fi fi 








条 件 成 立 the 
条 件 成 之 then ,| 命令 序列 - | 
| | 
一 = it 条 件 测试 操作 一 | fiM 一 








| 条 件 不 成 立 





单 分 支 和 f 语 句 : 判 断 目录 是 否 存 在 ， 若 不 存在 则 自动 创建 。 
编写 Shell 脚本 并 写 入 下 面 的 语句 : 
[root@linuxprobe ~|# vim Example.sh 
#!/bin/bash 
DIR="/media/cdrom" 
if | |! -e $DIR | 
then 
mkdir -p $DIR 
fi 
执行 后 默认 没有 回 显 ， 读 者 可 动手 添加 echo 语句 显示 创建 过 程 : 
[root@linuxprobe ~|# sh Example.sh 
查看 该 目录 是 否 被 创建 : 
[root@linuxprobe ~|# Is -d /media/cdrom 


/media/cdrom 


双 分 支 结 构 是 由 寺 then、else、 企 关键 词组 成 ， 做 条 件 成 立 或 条 件 不 成 立 的 判断 。 
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u^ (ur 条 件 测试 操作 if 能 够 ping 通 


then 命令 序列 1 3 then 提示 服务 器 正常 工作 





else 命令 序列 2 
fi 


else 报警 服务 器 出 现 问题 


fi 


条 件 成 立 then (Lex | 

















—— it 条 件 测试 操作 一 | ff 结束 尖 断 “| 一 











9 - | 
| FHA else ,| &emsp - 





双 分 支 证 语句 :判断 指定 主机 能 否 ping 通 ， 根 据 返 回 结果 分 别 给 予 提示 或 警告 。 
为 了 减少 用 户 的 等 待 时 间 ， 需 要 为 ping 命令 追加 -c 参数 代表 发 送 数据 包 的 个 数 ，-i 代表 每 0.2 秒 发 一 个 数据 包 ，-W 
则 为 3 秒 即 超时 。 而 $1 为 用 户 输入 的 第 一 个 参数 (IP 地 址 ), $? 为 上 一 条 命令 的 执行 结果 , 判断 是 否 等 于 0( 即 成 功 )。 
[root@linuxprobe ~|# vim Example.sh 

#!/bin/bash 

ping -c 3 -i 0.2 -W 3 $1 &> /dev/null 

if [ $? -eq O | 

then 

echo "Host $1 is up." 

else 

echo "Host $1 is down." 

fi 
给 予 脚本 可 执行 权限 ， 否 则 请 用 sh È source 命令 执行 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
参数 为 要 检测 的 主机 IP 地 址 ， 根 据 返 回 值 判断 为 up: 
[rootelinuxprobe ~|# ./Example.sh 192.168.10.10 
Host 192.168.10.10 is up. 
根据 ping 命令 的 执行 结果 判断 主机 出 现 网 络 故 障 。 
[rootelinuxprobe ~|# ./Example.sh 192.168.10.20 
Host 192.168.10.20 is down. 
多 分 支 结 构 相 对 就 比较 复杂 了 ， 是 由 寺 then, else, elif, 在 关键 词组 成 ， 根 据 多 种 条 件 成 立 的 可 能 性 执行 不 同 的 

操作 。 
if 条 件 测试 操作 1 if 分 数 为 85~100 之 间 
then 命令 序列 1 then FIARA 


elif 条 件 测试 操作 2 elif 分 数 为 70~84 之 间 
then 命令 序列 2 then 判 为 合格 


else esle 
命令 序列 3 判 为 不 合格 
fi 











条 件 成 立 


TARRE FEAE ( ise. | 一 一 

















—— eif 条 件 测试 操作 2 一 asm | 一 


| 
| 




















2x. ~ ep 
条 件 不 成 立 else ,| &5 Rn … 


& 2 X i] LII P RON B ACECEIVIR EE BLA, BENENE, PARTE 
read 命令 用 于 将 用 户 的 输入 参数 赋值 给 指定 变量 ， 格 式 为 : ”read -p [提示 语句 ] 变量 名 ”。 





DARE 


(Linux 就 该 这 么 学 》  HTTP://www.linuxprobe.com 


使 用 read 命令 让 用 户 为 GRADE 变量 赋值 ， 判 断 分数 必 需 同 时 满足 大 于 85 且 小 于 100 4 38 H Excellent, 7 


必需 同时 满足 大 于 70 ENF 84 才 输 出 Pass， 其 余 所 有 的 情况 均 会 输出 Fail。 
[rootelinuxprobe ~|# vim Example.sh 

#!/bin/bash 

read -p "Enter your score (0-100): " GRADE 

if | GRADE -ge 85 | && [ SGRADE -le 100 | ; then 

echo "$GRADE is Excellent" 

elif [ $GRADE -ge 70 | && [ SGRADE -le 84 | ; then 

echo '$GRADE is Pass" 

else echo "$GRADE is Fail" 

fi 
给 予 脚本 可 执行 权限 ， 否 则 请 用 sh È source 命令 执行 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
输入 88 分 ， 满 足 第 一 判断 语句 ， 所 以 输出 Excellent: 
[root@linuxprobe ~|# ./Example.sh 
Enter your score (0-100): 88 
88 is Excellent 
输入 80 分 ， 满 足 第 二 判断 语句 ， 所 以 输出 Pass: 
[rootelinuxprobe ~]# ./Example.sh Enter your score (0-100): 80 
80 is Pass 
输入 30 与 200 分 都 属于 其 他 情况 ， 所 以 输出 Fail: 
[rootelinuxprobe ~]# ./Example.sh Enter your score (0-100): 30 
30 is Fail 
[rootelinuxprobe ~]# ./Example.sh Enter your score (0-100): 200 
200 is Fail 


请 您 动手 在 上 面 Shell 脚本 中 添加 判断 语句 ， 将 所 有 小 于 0 分 或 大 于 100 分 的 输入 都 子 以 警告 。 















































for 条 件 语句 
for 条 件 语 名 会 先 读 取 多 个 不 同 的 变量 值 ， 然 后 逐一 执行 同一 组 命令 。 
for 变量 名 in 取 值 列表 for 用 户 名 in 列表 文件 
do 
创建 用 户 并 设置 密码 
done 
A d 命令 序列 … | Hn ERR — 
-一 -| for 变量 = 职 值 1 done 结束 循环 一 
取 值 1 
取 值 2 
 RWfün 
for 条 件 语句: 从 列表 文件 中 读 取 用 户 名 ， 逐 个 创建 用 户 并 将 密码 设置 。 
创建 用 户 名 称 列表 文件 : 


[root@linuxprobe ~|# vim users.txt 


andy 
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barry 
carl 
duke 
eric 


george 
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Shell 脚本 提示 用 户 输入 要 设置 的 密码 并 赋值 给 PASSWD 变量 ， 从 users.txt 文件 中 读 入 用 户 名 并 赋值 给 UNAME X 


量 ， 而 查看 用 户 的 信息 都 重 定 向 到 /dev/null 文件 ， 不 显示 到 屏幕 。 


[root@linuxprobe ~|# vim Example.sh 
#!/bin/bash 

read -p "Enter The Users Password :" PASSWD 
for UNAME in 'cat users.txt' 

do 

id $SUNAME &» /dev/null 

if [ $? -eq O ] 

then 

echo "Already exists" 

else 

useradd $UNAME &> /dev/null 

echo "SPASSWD' | passwd --stdin SUNAME &> /dev/null 
if [ $? -eq O | 

then 

echo "Create success" 

else 

echo "Create failure" 

fi 

fi 


done 


执行 批量 创建 用 户 的 Shell 脚本 程序 ， 输 入 为 用 户 设 定 的 密码 口令 ， 检 查 脚 本 是 否 为 我 们 完成 创建 用 户 的 动作 : 


[root@linuxprobe ~|# source Example.sh 
Enter The Users Password : linuxprobe 
Create success 

Create success 

Create success 

Create success 

Create success 

Create success 

[rootelinuxprobe ~|# tail -6 /etc/passwd 
andy:x:1001:1001z/home/andy-bin/bash 
barry:x:1002:1002::/home/barry-/bin/bash 
carlx:1003:1003:/home/carl;/bin/bash 
dukex:1004:1004z/home/duke:/bin/bash 
eric:xx: 1005:1005::/home/eric:/bin/bash 
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george:x:1006:1006:/home/george:/bin/bash 
这 个 Shell 脚本 还 存在 一 个 小 小 的 遗憾 ， 它 只 会 输出 帐号 创建 成 功 或 失败 ， 但 没有 指明 是 那个 帐号 ， 这 个 功能 请 读者 
动手 添加 下 ， 记 得 是 要 用 $UNAME X ER 
for 条 件 语 名 :从 列表 文件 中 读 取 主 机 地 址 ， 逐 个 测试 是 否 在 线 。 
首先 创建 主机 地 址 列表 : 
[root@localhost ~|# vim ipadds.txt 
192.168.10.10 
192.168.10.11 
192.168.10.12 
这 个 脚本 可 以 参考 前 面 双 分 支 计 语 名 
主机 IP 地 址 测试 主机 是 否 在 线 : 
[root@localhost ~|# vim Example.sh 
#!/bin/bash 
HLIST=$ (cat ~/ipadds.txt) 
for IP in SHLIST 
do 
ping -c 3 -i 0.2 -W 3 $IP &» /dev/null 
if [ $? -eq O | ; then 
echo "Host SIP is up.” 





从 ipadds.txt 中 读 取 主机 地 址 后 赋值 给 HLIST 变量 后 逐个 ping 列表 中 的 


else 

echo "Host SIP is down." 

fi 

done 

[root&linuxprobe ~|# ./Example.sh 
Host 192.168.10.10 is up. 

Host 192.168.10.11 is down. 
Host 192.168.10.12 is down. 


while 条 件 语句 
while 条 件 语句 用 于 重复 测试 某 个 条 件 ， 当 条 件 成 立时 则 继续 重复 执行 。 


while 条 件 测试 操作 
do 


while 未 猜 中 正确 价格 


do 
反复 猜测 商品 价格 


done 


命令 序列 
done 








条 件 成 之 


—À — while RERE 0000 





do 匣 令 序列 … | 








done 结束 循环 — 








E 








while 条 件 语 名 :随机 生成 一 个 0-999 的 整数 ， 判 断 并 提示 用 户 输入 的 值 过 高 或 过 低 ， 只 有 当 用 户 猜 中 才 结 束 程序 。 
脚本 中 的 $RANDOM 是 一 个 随机 变量 ， 用 于 在 %1000 后 会 得 到 一 个 介 于 0-999 的 整数 后 赋值 给 PRICE 变量 ，while 
后 面 的 true 代表 该 循环 会 永久 循环 执行 : 

#!/bin/bash 
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PRICE=$ (expr $RANDOM % 1000) 


TIMES=0 

echo "商品 实际 价格 为 0.999 20, PEE Sp? 
while true 

do 

read -p "请 输入 你 猜测 的 价格 数目 : INT 

let TIMES++ 


if [ SINT -eq $PRICE | ; then 
echo " 茶 喜 你 答对 了 ， 实 际 价格 是 $PRICE" 
echo "你 总 共 猜 测 了 $TIMES OX" 
exit O 
elif | SINT -gt $PRICE | ; then 
echo A&T!" 
else 
echo "ART! " 
fi 
done 
动手 试 试 运行 Shell 脚本 吧 ， 每 次 RANDOM 变量 的 值 都 是 随机 的 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
[root&linuxprobe ~|# ./Example.sh 
商品 实际 价格 为 0-999 之 间 ， 猜 猜 看 是 多 少 ? 
请 输入 你 猜测 的 价格 数目 : 500 
太 低 了 ! 
请 输入 你 猜测 的 价格 数目 : 800 
Xm! 
请 输入 你 猜测 的 价格 数目 : 650 
KRT! 
请 输入 你 猜测 的 价格 数目 : 720 
Xm! 
请 输入 你 猜测 的 价格 数目 : 690 
太 低 了 ! 
请 输入 你 猜测 的 价格 数目 : 700 
Xm! 
请 输入 你 猜测 的 价格 数目 : 695 
Xm! 
请 输入 你 猜测 的 价格 数目 : 692 
Xm! 
请 输入 你 猜测 的 价格 数目 : 691 
茶 喜 你 答对 了 ， 实 际 价格 是 691 
你 总 共 猜 测 了 9 次 


case 条 件 语句 
case 条 件 语句 可 以 依据 变量 的 不 同 取 值 ， 分 别 执行 不 同 的 命令 动作 。 
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case 输入 的 字符 in 
[a-z]l[A-2]) 
提示 为 字母 。 


[0-9]) 
提示 为 数字 。 


case "EB in 
EX) 
命令 序列 1 


模式 2) 
命令 序列 2 


默认 命令 序列 
esac 


提示 为 特殊 字符 


esac 



























































x 
| 8 
| 命令 序列 1… | MM x | 
| 是 | esac 结束 分 支 — 
| | 命令 序列 2… | 
一 > 一 Case 变量 = 模式 1 一 一 
XE 
[8 | 默认 命令 序列 … 
一 ”变量 -模式 》 一 | 
8 








变量 -其 他 值 (一 


case 条 件 语句 :提示 用 己 输 入 一 个 字符 ， 判 断 该 字符 是 字母 、 数 字 或 特殊 字母 。 

提示 用 户 输入 一 个 字符 并 将 其 赋值 给 变量 KEY， 判 断 变量 KEY 为 何 种 字符 后 分 别 输出 是 字母 、 数 字 还 是 其 他 字符 : 
[root@linuxprobe ~|# vim Example.sh 

#!/bin/bash 

read -p "请 输入 一 个 字符 ， 并 按 Enter 键 确认 : "KEY 

case 'SKEY'" in 

[a-z] | [A-Z]) 

echo "您 输入 的 是 字母 。" 


[0-9]) 
echo "您 输入 的 是 数字 。" 


*) 


echo "您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。" 
esac 


[root@linuxprobe ~|# chmod u+x Example.sh 
[root@linuxprobe ~|# ./Example.sh 

请 输入 一 个 字符 ， 并 按 Enter RAN: 6 

您 输入 的 是 数字 。 

[root@linuxprobe ~|# ./Example.sh 

请 输入 一 个 字符 ， 并 抽 Enter AN: p 

您 输入 的 是 字母 。 

[root&linuxprobe ~|# ./Example.sh 

请 输入 一 个 字符 ， 并 按 Enter 键 确认 : ^[[15- 
您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。 
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4.4 计划 任务 服务 


有 经 验 的 系统 运 维 工程 师 能 够 让 系统 自动 化 运行 ， 无 需 人 工 的 干预 就 可 以 让 各 个 服务 、 命 令 在 指定 的 时 间 段 运行 、 停 止 。 
实际 上 这 些 操作 都 是 由 系统 的 计划 任务 功能 完成 的 , 而 计划 任务 又 分 为 “一 次 性 ”与 “长 期 性 ”之 分 , 可 以 理解 为 : 
一 次 性 计划 任务 : 今 晚 11 点 30 分 开启 网 站 服务 (例如 新 网 站 的 公测 ) 

长 期 性 计划 任务 :每 周 1. 3. 5 的 凌晨 3 点 25 分 将 /home/wwwroot 目录 打包 i backup.tar.gz 

先 来 讲 一 次 性 任务 吧 ， 它 是 由 atd 服务 /进程 来 实现 的 ， 计 划 的 管理 操作 是 ”at” 命 令 ， 具 体 的 可 用 参数 如 下 : 


参数 作用 


at < 时 间 > 安排 一 次 性 任务 

atq 或 at -l 查看 任务 列表 

at-c 序号 预览 任务 与 设置 环境 
atrm 序号 删除 任务 


一 般 用 at 命令 创建 计划 任务 有 交互 式 与 非 交互 式 两 种 方法 ， 先 来 看 看 交换 式 的 方法 ，( 输 完成 后 敲 击 Ctrl+d 来 保存 
退出 ): 
[root@linuxprobe ~|# at 23:30 
at > Systemctl start httpd 
at > 
job 3 at Mon Apr 27 23:30:00 2015 
[rootelinuxprobe ~|# atq 
3 Mon Apr 27 23:30:00 2015 a root 
直接 用 echo 语句 将 要 执行 的 命令 传送 给 at 命 
[root&linuxprobe ~|# echo "systemctl start iir | at 23:30 
job 4 at Mon Apr 27 23:30:00 2015 
[rootelinuxprobe ~|# atq 
3 Mon Apr 27 23:30:00 2015 a root 
4 Mon Apr 27 23:30:00 2015 a root 
删除 的 时 候 只 需要 用 atrm 命令 与 任务 编号 就 可 以 啦 ~ 
[root@linuxprobe ~|# atrm 3 
[root@linuxprobe ~|# atrm 4 
[root@linuxprobe ~|# atq 
对 于 创建 长 期 可 循环 的 计划 任务 ， 则 要 用 到 cron 服务 啦 ， 具 体 使 用 方法 如 下 : 
创建 、 编 辑 计 划 任 务 :crontab -e [-u 用 户 名 ] 
查看 计划 任务 :crontab 4 [-u 用 户 名 ] 
删除 计划 任务 :crontab -r [-u 用 户 名 ] 
其 中 在 创建 、 编 辑 计 划 任 务 时 有 个 固定 的 格式 ， 请 读者 们 一 定 要 记 住 。 


时 间 周 期 设置 任务 内 容 设 轩 








€ | command | 


cd 








字段 说 明 
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分 钟 取 值 为 从 0 到 59 zc gp is SE 

小 时 取 值 为 从 0 到 23 之 间 的 任意 整数 

日 期 取 值 为 1 到 31 之 间 的 任意 整数 

A 取 值 为 1 到 12 之 间 的 任意 整数 

星期 取 值 为 0 到 7 之 间 的 任意 人 整数， 其 中 0 与 7 均 为 星期 日 
命令 要 执行 的 命令 或 程序 脚本 


需要 用 cron 计划 任务 实现 的 功能 :” 每 周 1、3、5 的 凌晨 3 25 分 将 /home/wwwroot 目录 打包 备份 为 backup.tar.gz" 
编辑 root 用 户 自己 的 计划 任务 : 

[rootelinuxprobe ~|# crontab -e 

no crontab for root - using an empty one 

crontab: installing new crontab 

使 用 ”crontab - ”命令 查看 计划 任务 的 内 容 : 

[root@linuxprobe ~|# crontab -l 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/wwwroot 

如 果 想 对 某 个 用 户 设置 多 个 计划 任务 ， 则 可 直接 用 ”crontab -e“ 命 令 将 命令 逐条 添加 即 可 ， 让 计划 任务 自动 在 每 周 
1-5 的 凌晨 1 点 打包 网 站 目录 后 自动 清除 /tmp 目录 下 的 所 有 文件 : : 

[rootelinuxprobe ~|# crontab -e 

crontab: installing new crontab 

[root@linuxprobe ~|# crontab -l 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/wwwroot 

O 1 * * 1-5 /usr/bin/rm -rf /tmp/* 

本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 5 章 用 尸身 份 与 文件 权限 。 


章节 简 述 : 

详细 的 为 读者 讲述 了 用 户 、 用 户 组 和 其 余人 在 系统 中 的 不 同 身份 与 能 力 ， 以 及 文件 的 读 (f) 写 (WwW) 执行 权限 的 作用 。 
为 了 让 系统 更 加 的 安全 还 需要 学 习 SUID、SGID 和 SBIT 的 文件 特殊 权限 ， 文 件 隐藏 权限 以 及 ACL 访问 控制 列表 。 
学 会 su 命令 和 sudo 服务 后 一 定 能 够 满足 您 以 非 超级 用 户 操 作 实 验 或 日 常 工作 的 需求 , 同时 也 保证 了 系统 的 安全 性 。 


5.1 用 户 身份 与 能 力 


类 Unix 系 统 的 设计 初衷 就 是 为 让 多 用 户 同时 工作 , 所 以 也 迫使 Linux 系统 有 了 极 强 的 安全 性 ,在 前 面 安 装 红 帽 RHEL7 
操作 系统 时 还 特别 要 求 “设置 root 用 户 密码 ”， 而 root 用 户 是 存在 于 所 有 类 UNIX 系统 中 的 ”超级 用 户 “ 
root 用 户 拥有 极 高 的 系统 所 有 权 ， 能 够 管理 系统 的 各 项 功能 ， 如 添加 /删除 用 户 ， 尼 动 / 关 闭 进 程 ， 开 居 / 禁 用 硬件 设 
备 等 权限 。 虽然 使 用 root 用 户 工作 时 不 会 受到 权限 的 控制 ， 但 老话 讲 “ 能 力 越 大 ， 责 任 就 武大 ”， 一 旦 我 们 使 用 这 
个 高 能 的 root 用 户 襄 出 错误 的 命令 就 有 可 能 毁 挥 整个 系统 ， 真 得 好 好 权衡 下 啊 。 
而 其 实 ”root“ 只 是 个 名 字 ， 真 正 让 它 成 为 “超级 用 户 ” 的 是 UID 值 : 
UID (W User IDentification 的 缩写 ): 每 个 用 户 都 有 对 应 的 UID 值 ， 就 像 我 们 的 身份 证 号 码 。 
超级 用 户 UIDO:root 用 户 默认 为 0。 
: 统 用 户 UID1-999: 系 统 中 系统 服务 由 不 同 用 户 运行 ， 更 加 安全 ， 默 认 被 限制 登陆 系统 。 
通用 户 UID1000~: 即 管理 员 创 建 的 用 于 日 常 工作 而 不 能 管理 系统 的 普通 用 户 。 
注意 UID 一 定 是 不 能 冲突 的 ， 管 理 员 创建 的 普通 用 户 UID 1000 开始 (即便 前 面 有 闲置 的 号 码 ) 
帐户 名 称 与 UID 保存 在 /etc/passwd 文件 中 ， 而 帐户 密码 则 保存 在 /etc/shadow 文件 中 。 
GID( 即 Group IDentification 的 缩写 ): 可 将 多 个 用 户 加 入 茶 个 组 中 ， 方 便 指派 任务 或 工作 。 
想象 公司 员工 如 果 想 要 在 同 部 门 内 共享 资料 ， 就 可 以 加 入 自己 的 工作 组 如 技术 部 、 运 维 部 、 财 务 部 ……: 
每 个 用 户 在 被 创建 时 均 会 创建 一 个 默认 组 (其 GID 5 UID 相同 ， 俗 称 基 本 组 ) 而 后 加 入 的 则 叫 扩展 组 ， 一 定 要 分 清楚 。 
用 户 组 名 称 与 GID 保存 在 /etc/group 文件 中 。 





5.2 文件 权限 与 归属 


Linux 系统 中 一 切 都 是 文件 ， 文 件 和 目录 的 所 属 与 权限 一 一 来 分 别 规定 所 有 者 、 所 有 组 、 其 余人 的 读 ， 写 ， 执 行 权 有限。 
读 (read)， 写 (write)， 执 行 e (xecute) 简写 即 为 (r,w,x)， 亦 可 用 数字 (4,2,1) 表 示 


DEOR | 读 写 [RS | [S[RG[W[9- 执行 
me epe [rw] x rwlx 


Brr | 4 | 2 | 1 | 4 | 2 | 1 4/|2)| !- 
文件 所 有 者 


誉 例 :如 果 茶 文件 权限 为 7 则 代表 可 读 ， 可 写 ， 可 执行 (4+2+1)。 才 权限 为 6(4+2) 则 代表 可 读 ， 可 写 。 

那么 权限 为 5 与 3 时 分 别 代表 了 什么 ? 想 出 答案 后 用 鼠标 选中 下 行 即 出 答案 ERRA) 

答案 : 权限 为 5 代表 可 读 (4) 和 可 执行 (1)。 而 权限 为 3 代表 可 写 (2) 和 可 执行 (1)。 

例如 下 图 中 的 文件 所 有 者 ( 属 主 ) 为 root, 所 有 组 ( 属 组 ) 为 root， 文 件 名 为 instsalllog， 权 限 位 的 第 一 个 减 号 ”一 “ 代 
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表 的 是 文件 类 型 : 
-: 普 通 文 件 ，d: 目 录 文 件 ，1: 链 接 文件 ，b: 块 设备 文件 ，c: 字 符 设备 文件 ，p: 管 道 文件 


[root@localhost ~]# Is -I install.log 
-rw-r--r- 1 root root 34298 04-02 00:23 install.log 







文件 的 权限 为 rw-r -T 二 也 就 是 分 别 表示 所 有 者 ( 属 主 ) 有 读 写 权限 ， 所 有 组 ( 属 组 ) 有 读 权 限 ， 其 余人 也 仅 有 读 权 限 。 
这 个 时 候 发 现 问题 了 吗 ? 对 于 目录 文件 的 读 和 写 权 限 我 们 还 可 以 理解 ， 目 录 要 能 执行 操作 ? 
普通 文件 即 实际 保存 数据 的 地 方 ， 其 并 不 具备 删除 自身 的 权限 : 
r: 可 读 取 文件 的 实际 内 容 
W: 可 编辑 /新 增 /修改 该 文件 的 实际 内 容 
XxX: 可 被 执行 
目录 文件 即 保存 有 目录 结构 和 文件 权限 : 
r: 可 读 取 目录 结构 和 和 权限 
W: 可 更 改 目 录 结 构 列 表 、 新 建 /删除 / 重 命名 /转移 子 文件 /目录 。 
XxX: 表示 用 户 可 进入 到 该 目录 中 





5.3 文件 的 特殊 权限 


单纯 对 文件 位 置 的 rwx 权限 肯定 不 能 满足 我 们 对 安全 、 便 捷 工作 的 需求 ,所 以 便 有 了 SUID 与 SGID 的 特殊 权限 机 制 。 
SUID: 让 执行 者 临时 拥有 属 主 的 权限 ( 仅 对 拥有 执行 权限 的 二 进 制程 序 有 效 ) 

比如 所 有 用 户 都 可 以 执行 用 于 修改 用 户 密码 的 passwd 命令 ， 但 用 户 密码 保存 在 /etc/shadow XF, RAR RE 
000 即 除了 超级 用 户 root 外 的 所 有 用 户 都 没有 查看 或 编辑 该 文件 的 权限 ， 所 以 对 passwd 命令 加 上 SUID 权限 位 ， 
则 可 让 普通 用 户 临 时 获得 程序 所 有 者 的 身份 ， 即 以 root 用 户 的 身份 将 变更 的 密码 信息 写 入 到 shadow 文件 中 。 
SGID: 

功能 一 : 让 执行 者 临时 拥有 属 组 的 权限 〈 对 拥有 执行 权限 的 二 进 制 程序 设置 ) 

举例 来 说 /dev/kmem 是 一 个 字符 设备 文件 ， 用 于 存储 内 核 程序 要 访问 的 数据 ， 权 限 为 : 

cr-r—-  lrootsystem 2, 1 Feb 11 2015 kmem 

读者 们 看 出 问题 了 四 ? 除了 以 root 身份 或 system 组 成 员 的 用 户 都 没有 读 取 该 文件 的 权限 ， 但 用 户 又 需要 使 用 系统 
的 ps 命令 来 查看 系统 进程 状态 ， 所 以 为 了 让 用 户 能 够 获取 到 系统 状态 信息 ，ps 命令 的 权限 被 加 了 SGID 位 : 
-T-XT-ST-X 1 bin system 59346 Feb 11 2015 ps 

这 样 因为 被 给 予 了 SGID 权限 ， 所 以 当 用 户 执行 了 ps 命令 ,实际 有 效用 户 组 就 是 system 啦 ， 于 是 便 能 够 顺利 的 读 取 
设备 文件 啦 ~ 

功能 二 : 在 该 目录 中 创建 的 文件 自动 继承 此 目录 的 用 户 组 (只 可 以 对 目录 设置 ) 

比如 我 们 将 某 个 部 门 的 工作 目录 给 予 了 SGID 权限 , 这 样 所 有 和 创建 的 文件 都 归 相 同 的 工作 组 , 这 样 方便 以 后 的 管理 。 
chmod 命令 用 于 修改 文件 或 目录 的 权限 ， 格 式 为 : ”chmod [参数 ] 权限 文件 或 目录 名 称 ”。 

chown 命令 用 于 修改 文件 或 目录 的 所 属 主 与 所 属 组 , 格式 为 : “chown [参数 ] 所 属 主 : 所 属 组 文件 或 目录 名 称 ”。 
chmod 与 chown 的 命令 参数 很 简单 记 一 一 对 于 文件 不 加 参数 ， 遇 到 目录 加 大 写 -R( 递 归 ， 修 改 目 录 内 所 有 文件 的 属 
性 )。 

创建 工作 目录 并 给 予 GID 权限 : 

[rootelinuxprobe ~|# cd /tmp 





[root&elinuxprobe tmp|# mkdir testdir 
[rootelinuxprobe tmp]|* ls -ald testdir/ 
drwxr-xr-x. 2 root root 6 Feb 11 11:50 testdir/ 
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[root@linuxprobe tmp|# chmod -Rf 777 testdir/ 
[root@linuxprobe tmp|# chmod -Rf g«s testdir/ 
[rootelinuxprobe tmp] Is -ald testdir/ 
drwxrwsrwx. 2 root root 6 Feb 11 11:50 testdir/ 
切换 至 普通 用 户 linuxprobe， 在 该 目录 创建 文件 : 
[rootelinuxprobe tmp|£ su - linuxprobe 
Last login: Wed Feb 11 11:49:16 CST 2015 on pts/O 
linuxprobeelinuxprobe ~|$ cd /tmp/testdir/ 
[linuxprobeelinuxprobe testdir|$ echo "linuxprobe.com'" > test 
[linuxprobeelinuxprobe testdir]$ ls -al 
total 8 
drwxrwsrwx. 2 root root 17 Feb 11 11:50. 
drwxrwxrwt. 18 root root 4096 Feb 11 11:50 . 
-rw-rw-r--. 1 linuxprobe root 15 Feb 11 11:50 test 
SBIT(Sticky Bit): 只 可 管理 自己 的 数据 而 不 能 删除 他 人 文件 ( 仅 对 目录 有 效 ) 
一 般 老 师 希 望 学 生 可 以 将 作业 上 传 到 某 个 特定 目录 一 一 但 为 了 避免 某 些 小 破坏 份子 ， 想 限制 删除 其 他 人 文件 的 话 ， 
那 就 要 设置 SBIT 位 了 ， 当 然 也 可 以 叫做 特殊 权限 位 之 粘 洁 位 。 
切换 至 普通 用 户 ， 进 入 tmp 目录 : 
[root@linuxprobe tmp]? su - linuxprobe 
Last login: Wed Feb 11 12:41:20 CST 2015 on pts/O 
[linuxprobe?linuxprobe -|$ cd /tmp 
3E EDXUDUR, BEN COGERET N A A : 
[linuxprobe@linuxprobe tmp]|$ Is -ald 
drwxrwxrwt. 17 root root 4096 Feb 11 13:03. 
创建 一 个 文件 吧 : 
[|linuxprobe@linuxprobe tmp]$ echo "for test " > test 
[linuxprobeelinuxprobe tmp|$ chmod -Rf 777 test 
给 予 这 个 文件 最 大 的 权限 (rwxrwxrwx,777): 
[linuxprobe@linuxprobe tmp]$ Is -al test 
-rwxrwxrwx. 1 linuxprobe linuxprobe 10 Feb 11 12:59 test 
此 时 切换 到 普通 用 户 blackshield 党 试 删除 该 文件 : 
[root@linuxprobe tmp|# su - blackshield 
Last login: Wed Feb 11 12:41:29 CST 2015 on pts/1 
[blackshieldelinuxprobe -]$ cd /tmp 
[blackshieldelinuxprobe tmp]|$ rm test 
rm: remove write-protected regular file ‘test ? y 


rm: cannot remove ‘test? : Operation not permitted 


删除 该 文件 时 会 提示 错误 ， 所 以 即便 权限 很 充足 ， 但 因为 特殊 权限 SBIT 的 缘故 所 以 依然 无 法 删除 其 他 人 的 文件 。 


5.4 文件 的 隐藏 属性 


文件 权限 除了 读 写 执行 与 SUID、SGID、SBIT 外 还 有 一 种 隐藏 权限 ， 例 如 明明 有 权限 删除 共 个 文件 却 报错 了 ， 或 者 仅 
能 为 茶 个 文件 追加 内 容 而 不 能 减少 内 容 ， 遇 到 这 种 很 “奇怪 ”的 文件 ， 就 要 怀疑 是 文件 被 设置 隐藏 权限 了 。 


VN NON 


(Linux 就 该 这 么 学 》  HTTP://www.linuxprobe.com 


chattr 命令 用 于 设置 文件 的 隐藏 权限 ， 格 式 为 : “chattr [参数 ] 文件 ”。 


参数 


X 


作用 

将 无 法 对 文件 进行 修改 , 若 对 目录 设置 后 则 仅 能 修改 子 文件 而 不 能 新 建 或 删除 。 
仅 允 许 补 充 GEO 内 容 .无 法 覆盖 /删除 (Append Only). 
文件 内 容 变更 后 立即 同步 到 硬盘 (Sync)。 

彻底 从 硬盘 中 删除 ， 不 可 恢复 (用 0 填充 原文 件 所 在 硬盘 区 域 )。 
不 再 修改 这 个 文件 的 最 后 访问 时 间 (atime)。 

不 再 修改 文件 或 目录 的 存 取 时 间 。 

检查 压缩 文件 中 的 错误 。 

当 使 用 dump 命令 备份 时 忽略 本 文件 /目录 。 

默认 将 文件 或 目录 进行 压缩 。 

当 删 除 此 文件 后 依然 保留 其 在 硬盘 中 的 数据 ， 方 便 日 后 恢复 。 
让 文件 系统 支持 尾部 合并 (tail-merging). 


可 以 直接 访问 压缩 文件 的 内 容 。 


lsattr 命令 用 于 显示 文件 的 隐藏 权限 ， 格 式 为 : “lsattr [参数 |] 文件 ”。 


参数 


d 


作用 


显示 所 有 文件 和 目录 。 


显示 隐藏 属性 的 全 称 〈 默 认 简 写成 一 个 字母 )。 


递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 


若 目 标 文件 为 目录 ， 请 加 此 参数 。 


写 入 一 个 名 为 linuxprobe, 内 容 为 ”for Test” 的 普通 文件 : 
[rootelinuxprobe ~|# echo "for Test" > linuxprobe 
党 试用 rm 命令 删除 ， 结 果 成 功 : 


[rootelinuxprobe -]* rm linuxprobe 


rm: remove regular file "linuxprobe' ? y 

再 次 写 入 linuxprobe 文件 : 

[root@linuxprobe ~|# echo "for Test" > linuxprobe 
添加 仅 允 许 追加 的 隐藏 权限 〈 无 法 删除 与 覆盖 ) : 
[rootelinuxprobe ~|# chattr «a linuxprobe 


再 来 尝试 删除 发 现 已 经 报错 : 
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[rootelinuxprobe -]* rm linuxprobe 
rm: remove regular file "linuxprobe' ? y 
rm: cannot remove  linuxprobe' : Operation not permitted 
而 用 Is 也 无 法 看 到 不 同 的 地 方 : 
[root@linuxprobe ~|# Is -al linuxprobe 
-rW-r-r--. 1 root root 9 Feb 12 11:42 linuxprobe 
用 lsattr 命令 则 原形 毕露 了 ， 果 然 是 因为 这 个 隐藏 权限 : 
[root@linuxprobe ~|# lsattr linuxprobe 


a a---------- linuxprobe 


去 除 对 linuxprobe 文件 设置 的 隐藏 权限 : 
[root@localhost ~|# chattr -a linuxprobe 

再 来 看 下 linuxprobe 文件 的 隐藏 权限 (已 经 没有 了 ): 
[root@localhost ~|# lsattr linuxprobe 

---------------- linuxprobe 

尝试 删除 该 文件 (已 经 可 以 顺利 删除 了 ): 
[root@localhost -| rm linuxprobe 


rm: remove regular file ‘linuxprobe ? y 


5.5 su 命令 与 sudo 服务 


我 建议 读者 使 用 非 超 级 用 户 的 普通 身份 来 操作 实验 或 日 常 工作 ， 这 样 会 更 加 的 安全 ， 当 执行 了 错误 的 命令 后 也 很 少 
会 让 系统 完全 骨 江 ,但 因为 许多 的 系统 管理 命令 只 有 超级 用 户 才 可 以 使 用 ， 所 以 无 疑 也 让 用 户 受 到 更 多 的 束缚 ， 如 何 
让 普通 用 户 执行 这 些 程序 呢 ? 

su 命令 用 于 变更 使 用 者 的 身份 (切换 登陆 者 )， 格 式 为 : “su H 用 户 名 ”。 

root 用 户 切换 到 其 他 用 户 时 无 需 输入 密码 ， 党 斌 切换 到 普通 用 户 linuxprobe: 

[root@linuxprobe ~|# su linuxprobe 

成 功 切 换 后 查看 环境 变量 : 

[linuxprobe@linuxprobe root]$ echo $PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin:/root/bin 

普通 用 户 再 切换 用 户 需要 输入 对 方 帐户 密码 才 可 以 : 

[linuxprobe@linuxprobe root|$ su root 

Password: 

若 需 将 环境 变量 改变 为 新 用 户 的 ， 请 加 参数 ”-“: 

[root@linuxprobe ~|# su - linuxprobe 

Last login: Mon Aug 24 19:27:09 CST 2015 on pts/O 

再 次 查看 环境 变量 : 

[linuxprobe@linuxprobe -|$ echo $PATH 
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/linuxprobe/ local/bin:/home/linuxprobe/bin 
从 su 切换 用 户 模式 中 退出 : 

[linuxprobe@linuxprobe ~]$ exit 

logout 


回 到 root 用 户 的 身份 : 
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[rootelinuxprobe -]4 

sudo 命令 用 于 给 普通 用 户 提供 额外 权利 来 完成 原本 超级 用 户 才 能 完成 的 任务 , 格式 为 : sudo [参数 | 命令 名 称 ”。 
上 面 su 命令 允许 普通 用 户 完全 变更 为 超级 管理 员 的 身份 , 但 这 也 无 疑 会 让 系统 增添 很 多 的 安全 隐患 ， 我 们 使 用 sudo 
程序 可 以 仅 将 特 是 的 命令 /程序 执行 权限 赋予 给 指定 的 用 户 , 同时 也 避免 了 过 多 使 用 root 身份 , 只 要 合理 的 配置 sudo 
功能 便 可 以 合理 的 兼顾 系统 的 安全 性 和 用 户 便捷 性 ， 给 读者 的 原则 : 

在 保证 普通 用 户 完成 工作 的 前 提 下 ， 尺 可 能 少 的 给 予 额 外 的 权限 。 

总 结 来 说 sudo 的 特色 功能 有 : 

1: 限 制 用 户 执行 指定 的 命令 。 

2: 记 录用 户 执行 的 每 一 条 命令 。 

3: 配 置 文件 (etc/sudoers) 提供 集中 的 管理 用 户 、 权 限 与 主机 等 参数 。 

4: 验 证 过 密码 后 5 分 钟 (默认 值 ) 内 无 须 再 让 用 户 验证 密码 ， 更 加 的 方便 。 


sudo 命令 的 常用 参数 包括 有 : 
参数 作用 
-h 列 出 帮助 信息 。 
i 列 出 当前 用 户 可 执行 的 命令 。 
-u MP AR UD E 以 指定 的 用 户 身 份 执行 命令 。 
清空 安全 时 间 ， 下 次 执行 sudo 时 需要 再 次 密码 验证 。 
b 在 后 合 执行 指定 的 命令 
-p 更 改 询问 密码 的 提示 语 。 


只 用 超级 用 户 才 可 以 使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 (etc/sudoers), visudo 命令 的 优势 : 
防止 多 个 用 尸 同时 修改 sudo 配置 文件 。 
对 sudo 程序 配置 文件 的 语法 检查 。 
visudo 会 调用 vi 编辑 器 来 修改 配置 文件 ， 而 如 果 语 法 有 报错 则 会 报错 : 
visudo: >>> /etc/sudoers: syntax error near line 111 ««« 
What now? 
Options are: 
(e)dit sudoers file again 
(x)it without saving changes to sudoers file 
(Q)uit and save changes to sudoers file (DANGER!) 
此 时 可 以 敲 击 ”e 键 “ 来 修正 内 容 ， 散 击 ”X 键 “直接 退出 不 保存 还 可 散 击 ”Q 键 “ 强 制 保存 退出 (sudo 程序 将 不 
能 被 启动 )。 
实验 环节 一 一 允许 linuxprobe 用 户 执行 所 有 命令 : 
使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 ， 在 第 99 行 添加 参数 允许 linuxprobe 用 户 能 够 从 任意 主机 执行 任意 命 
令 的 参数 。 
格式 为 :允许 使 用 sudo 服务 的 主机 以 谁 的 身份 执行 命令 ” 具体 可 执行 命令 的 列表 
[root@linuxprobe ~|# visudo 
linuxprobe ALL=(ALL) ALL 
将 上 面 的 配置 文件 保存 退出 后 切换 至 linuxprobe 用 户 : 
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[root@linuxprobe ~|# su - linuxprobe 
Last login: Thu Sep 3 15:12:57 CST 2015 on pts/1 
查看 linuxprobe 用 户 可 以 使 用 那些 sudo 执行 的 命令 (此 处 验证 执行 用 户 的 密码 ): 
[linuxprobe@linuxprobe ~]$ sudo -| 
[sudo] password for linuxprobe: 
Matching Defaults entries for linuxprobe on this host: 
requiretty, !visiblepw, always set home, env. reset, env keep-" COLORS 
DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS. COLORS", env. keep--" MAIL PS1 
LC IDENTIFICATION LC MEASUREMENT LC. MESSAGES", env. keep--'LC MONETARY 
LC NAME LC. NUMERIC LC PAPER LC TELEPHONE', env. keep*-"LC TIME LC. ALL 
LANGUAGE LINGUAS. XKB. CHARSET XAUTHORITY'", 
secure path-/sbinV/binV/usr/sbinN/usr/bin 
告知 linuxprobe 用 户 能 够 执行 的 命令 有 “所 有 ”: 
User linuxprobe may run the following commands on this host: 
(ALL) ALL 
使 用 ls 命令 查看 /root 目录 内 的 文件 提示 权限 拒绝 : 
[linuxprobeelinuxprobe ~|$ ls /root 
ls: cannot open directory /root: Permission denied 
使 用 sudo 命令 以 root 用 户 身份 执行 则 正常 浏览 ; 
[linuxprobeelinuxprobe ~]$ sudo ls /root 
anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures Templates 
Desktop Downloads Music Public Videos 
实验 环节 一 一 仅 允 许 linuxprobe H È A root 用户 身 份 执行 cat 命令 。 
使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 , 将 前 面 实 验 的 参数 删除 (第 99 行 )。 然 后 在 第 112 行 追 加 允许 linuxprobe 
用 户 只 能 以 root 用 户 身份 执行 cat 命令 的 参数 : 
[root@linuxprobe ~|# visudo 
linuxprobe ALL=(root) /bin/cat 
切换 至 linuxprobe 用 户 : 
[root@linuxprobe ~|# su - linuxprobe 
Last login: Thu Sep 3 15:51:01 CST 2015 on pts/1 
使 用 cat 命令 查看 密码 文件 后 提示 权限 不 足 : 
[linuxprobe@linuxprobe ~|$ cat /etc/shadow 
cat: /etc/shadow: Permission denied 
使 用 sudo 命令 来 运行 cat 命令 后 获得 了 root 权限 后 查看 成 功 : 
[linuxprobe@linuxprobe ~|$ sudo cat /etc/shadow 
root:$6$GV3UVtX4ZGg6ygA6$J9pBuPGUSgZslj83jyoT 7 ThJIa9ZAULku3BcncAYFOOUwk6Sqc4E36MnD 1 hLtIG9Q 
linuxprobe:$6$1aqSJH8ESAKGOp.7 $NojzuWzxwKvgfufCN5CmYTaaMdiYYWDZwgoVOqgx6/K2ZSQUjby3lmkMvD 
LuLIqbkuGsnVp1 w.Z752kvWjHY6/:16626:0:99999:7:: 
实验 环节 一 一 允许 linuxprobe 用 户 以 任意 身份 执行 命令 ， 且 每 次 都 不 需要 密码 验证 。 
使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 ， 将 前 面 实验 的 参数 删除 (第 112 £D). 后 在 此 行 追加 下 面 的 参数 
linuxprobe ALLZNOPASSWD: ALL 
切换 至 linuxprobe f P : 
[rootelinuxprobe ~|# su - linuxprobe 
清空 安全 时 间 : 
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Last login: Thu Sep 3 15:58:31 CST 2015 on pts/1 
[linuxprobeelinuxprobe ~]$ sudo -k 
执行 sudo 后 不 再 需要 密码 验证 : 
[linuxprobe@linuxprobe ~]$ sudo ifconfig 
eno16777728: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe9c:6373 prefixlen 64 scopeid Ox20<link> 
ether 00:0c:29:9c:63:73 txqueuelen 1000 (Ethernet) 
RX packets 264 bytes 40883 (39.9 KiB) 
RX errors O dropped O overruns 0 frame 0 
TX packets 31 bytes 4381 (4.2 KiB) 


TX errors O dropped O overruns O carrier O collisions O 


lo: flags=73<UP, LOOPBACK, RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 

inet6 :1 prefixlen 128 scopeid Ox10<host> 

loop txqueuelen O (Local Loopback) 

RX packets 2 bytes 140 (140.0 B) 

RX errors O dropped O overruns 0 frame 0 

TX packets 2 bytes 140 (140.0 B) 


TX errors O dropped O overruns O carrier O collisions 0 


5.6 文件 访问 控制 列表 


不 知 读者 有 没有 发 现 其 实 上 面 讲解 的 rwx 权限 、 特 殊 权 限 、 隐 藏 权限 都 是 对 某 一 类 用 户 设置 的 ， 而 如 果 和 希望 对 某 个 
指定 的 用 户 进行 单独 的 权限 设置 ， 那 么 就 需要 用 文件 的 访问 控制 列表 来 实现 啦 。 

我 们 可 以 基于 普通 文件 或 目录 设置 进行 设置 ACL， 通 俗 来 说 ACL 就 是 设置 指定 的 特定 用 户 或 用 户 组 对 某 个 文件 的 
操作 权限 。 并 且 如 果 对 某 个 目录 设置 了 访问 控制 策略 ， 那 么 子 文件 则 继承 其 访问 策略 ， 而 考 对 文件 设置 了 访问 控制 
策略 则 不 再 继承 上 级 目录 的 控制 策略 。 

setfacl 命令 用 于 增加 或 者 修改 ACL 规则 ， 格 式 为 : ”setfacl [参数 | 文件 ”。 





参数 作用 

-R 递归 (对 目录 使 用 ) 
-m 设置 文件 的 acl 规则 
-b 删除 acl 规则 


getfacl 命令 用 于 显示 文件 的 ACL 规则 ， 格 式 为 : ”getfacl 文件 ”。 
[root@linuxprobe ~|# getfacl /root 

linuxprobe 用 户 因 工作 的 原因 需要 有 能 读 取 root 家 目录 文件 的 权限 : 
[root@linuxprobe ~|# su - linuxprobe 

Last login: Sat Mar 21 16:31:19 CST 2015 on pts/O 

切换 到 linuxprobe 用 户 : 


(Linux 就 该 这 么 学 》  HTTP://www.linuxprobe.com 


[linuxprobeelinuxprobe ~]$ cd /root 

-bash: cd: /root: Permission denied 

尝试 进入 root 用 户 的 家 目录 失败 了 《当然 进 不 去 啦 ): 
[linuxprobe@linuxprobe root]$ exit 

3K El 8] root 用 户 后 设置 linuxprobe 对 /root 有 rwx 权限 : 
[rootelinuxprobe ~|# setfacl -Rm u:linuxprobe:rwx /root 
切换 到 linuxprobe 用 户 : 

[rootelinuxprobe ~|# su - linuxprobe 

Last login: 5at Mar 21 15:45:03 CST 2015 on pts/1 
成 功 进 入 到 /root H3&: 

[linuxprobeelinuxprobe -]$ cd /root 
[linuxprobeelinuxprobe root]$ Is 


anaconda-ks.cfg Downloads Pictures Public 


读者 们 也 来 试 试看 ， 能 不 能 看 到 该 文件 的 内 容 吧 : 
llinuxprobe@linuxprobe root|$ cat anaconda-ks.cfg 
返回 到 root 用 户 : 
[linuxprobe@linuxprobe root]$ exit 
用 getfacl 看 到 确实 多 了 一 条 user:linuxprobe:rwx: 
[linuxprobe@linuxprobe ~|# getfacl /root 

# file: . 

# owner: root 

# group: root 

user:r-x 

userlinuxprobe:rwx 

group:r-x 

mask:rwx 


other:--- 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 6 章 存储 结构 与 磁盘 划分 。 


CE HE: 

本 章节 从 Linux 系统 的 存储 结构 引入 ， 讲 述 硬盘 存储 结构 、 硬 件 命名 规则 以 及 内 核 Udev 设备 管理 器 服务 。 

让 读者 理解 文件 系统 的 作用 ， 能 够 区 分 ext3,ext4,xfs 有 何不 同 并 学 习 将 硬盘 设备 分 区 、 格 式 化 以 及 挂 载 等 觉 用 硬盘 
管理 操作 。 

完整 配置 SWAP 交换 分 区 、quota 服务 限制 磁盘 配额 、In 命令 创建 软 / 硬 链接 、RAID 磁盘 阵列 (0、1、5 和 10)、LVM 
X WAS. 


6.1 -WA "/" ”开始 


这 是 一 张 在 Windows™ 操 作 系 统 中 文件 的 属性 图 ， 你 能 准确 的 找到 它 吗 ? 
e) RHEL-server-7.0-x86 64-LinuxProbe.Com.iso ETE 


以 前 的 版 本 


HEL-szerver-T.Ü-x8B B4-LinuxFPraobe.Caom.152 


FAE: ”洗盘 映像 如 件 Ciso) 
打开 方式 : [O] Windows 光盘 映像 刻 


HE: D:*5 &LinuxglimXÓES BINE 
大 小 : 3.48 GB (3, T43, 416, 320 字 节 ] 


占用 空 上 日 : — 3.48 GB (3, T43, 416, 320 字 节 ) 


创建 时 间 : ”2015 年 1 月 22 日 ，12:21:55 
修改 时 间 : 2015 年 1 月 22 日 ， 14:59:15 
访问 时 间 : ”2015 年 1 月 22 日 ， 12:21:55 


属性 : Onk DERW 





要 想 找到 这 个 镜像 文件 则 需要 依次 进入 “D 盘 ” 再 进入 “ 《Linux 就 该 这 么 学 》” 目 录 中 的 “第 一 章 ” 目 录 ， 但 在 类 
Unix 系统 中 并 不 存在 C/D/E/F 瘟 待 噶 ， 一 切 的 文件 都 是 从 “ 根 (/)” 目 录 开始 的 并 按照 文件 系统 目录 标准 FHS 采用 
树 形 结构 来 存放 文件 并 定义 了 每 个 区 域 的 用 途 。 


根 目录 / 


n | B 


iroot Ibin /boot /dev ! lhome /var  /lib /usr /media /tmp  ...... 


lrootiDesktop  /root'Media .....  ..... lusribin ^/usr/lib — ...... 


























目录 名 称 严格 的 区 分 大 小 写 ， 例 如 root、rOOt、Root、rooT 等 等 均 代 表 是 不 同 的 独立 目录 ， 并 且 名 称 中 不 得 包含 反 


斜 杠 (/)。 


/boot 
/dev 


/etc 


/home 


/bin 


/lib 


/sbin 


/media 


/opt 


/root 


/STV 


/tmp 


/proc 


/usr/local 


/usr/sbin 


/usr/share 


/var 


/lost-found 


另外 一 个 重要 的 概念 “路 径 ”， 这 个 路 径 指 的 是 如 何 找到 某 个 文件 ， 分 为 “绝对 路 径 ” 与 “相对 路 径 ”: 


DAS yy 
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应 放置 文件 的 内 容 


开机 所 需 文件 一 一 内 核 ,开机 菜单 及 所 需 配 置 文件 等 


任何 设备 与 接口 都 以 文件 形式 存放 在 此 目录 


配置 文件 


AE SE else 


单 用 户 维护 模式 下 还 能 够 被 操作 的 命令 


开机 时 用 到 的 函数 库 及 /bin 与 /sbin 下 面 命 令 要 调用 的 函数 


开机 过 程 中 需要 的 


一 般 挂 载 或 删除 的 设备 


放置 第 三 方 的 软件 


系统 管理 员 的 主 文件 夹 


一 些 网 络 服务 的 数据 目录 


任何 人 均 可 使 用 的 “共享 ”临时 目录 


虚拟 文件 系统 ， 例 如 系统 内 核 ， 进 程 ， 外 部 设备 及 网 络 状态 等 


HP BSCRI EU 


非 系统 开机 时 需要 的 软件 /命令 /脚本 


帮助 与 说 明文 件 ， 也 可 放置 共享 文件 。 


主要 存放 经 常 变化 的 文件 ， 邵 日志。 


当 文 件 系统 发 生 错 误 时 ， 将 一 些 丢 失 的 文件 片段 存放 在 这 里 


绝对 路 径 (absolute): 由 根 目 录 (/) 开 始 写 起 的 目录 或 文件 名 
相对 路 径 (relative): 相 对 于 当前 路 径 的 写法 
举例 来 说 一 个 美国 人 想 找 下 出 所 ， 你 有 两 种 回答 的 方法 。 
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绝对 路 径 : 首先 坐 飞机 来 到 中 国 ， 到 了 北京 出 首都 机 场 做 地 铁 到 十 号 线 潘 家 园 站 ， 出 站 坐 34 路 到 农 光 里 下 车 路 口 左 转 。 
相对 路 径 : 前 面 路 口 左 转 

如 果 你 说 的 是 绝对 路 径 ， 那 么 任何 一 个 外 国人 都 可 以 按照 这 个 提示 找到 厕所 ， 但 缺点 是 过 于 繁 玉 ， 如 果 说 的 是 相对 
路 径 ， 那 么 这 个 美国 人 并 不 是 在 每 个 路 口 左 转 都 能 找到 而 所， 缺点 是 不 具备 普遍 性 。 


6.2 物理 设备 的 命名 规则 


因为 计算 机 中 有 了 硬盘 设备 才 使 得 我 们 游戏 通关 过 后 可 以 保存 记录 而 不 是 再 重新 开始 ， 硬 盘 设 备 则 是 由 大 量 的 “ 扇 
区 ”组 成 的 ， 其 中 第 一 个 局 区 保存 着 主 引 导 记 录 与 分 区 表 信 息 。 单 个 扁 区 容量 为 512bytes 组 成 ， 主 引导 记录 需要 占 
用 446bytes， 分 区 表 的 为 64bytes， 而 每 记录 一 个 分 区 信息 需要 16bytes， 那 么 问题 来 了 ， 好 像 只 能 记录 4 个 分 
区 信息 ? 


` NANAAY 


主 引 导 记 录 ( Master Boot Record ) MBR 





所 以 运 维 人 员 一 般 会 选择 用 3 个 主 分 区 加 1 个 扩展 分 区 的 方法 ， 扩 展 分 区 中 能 够 创建 无 限 个 逻辑 分 区 ， 这 样 我 们 就 
可 以 用 逻辑 分 区 来 满足 多 分 区 的 需求 了 ， 当 然 这 里 大 家 只 需 明 白 为 什么 主 分 区 不 能 超过 4 个 。 


Linux 系统 中 一 切 都 是 文件 ， 那 么 硬件 也 不 外 乎 。 既 然 是 文件 就 必须 有 名 称 啦 ， 系 统 内 核 的 设备 管理 器 (Udew 会 自动 
将 硬件 名 称 规范 起 来 ， 让 我 们 可 以 通过 设备 名 称 猜 出 设备 大 致 的 属性 以 及 分 区 信息 等 ，Udev 会 一 直 以 守护 进程 的 形 
式 运行 并 侦 听 来 自 内 核发 出 的 uevent 来 管理 /dev 目录 下 的 设备 文件 。 


Udev 会 根据 内 核发 出 的 uevent 来 动态 添加 或 删除 /dev 目录 中 的 设备 文件 ， 命 名 流程 如 下 : 






udevd M, kernel à tes it WIES / 3ev./ BETRIEB S 
收 到 一 个 设备 的 文件 。 


vevent 








BS g Iuevent 







在 配置 交 件 ( udev,.conz; 
里 查找 规则 如 件 所 在 目录 






iH IL 
则 匹配 






在 规则 目录 里 控 
顺序 查询 所 有 规 
则 文件 






在 /dasv7 下 用 内 核 设备 名 
WEARS. 












有 匹配 规则 


按照 所 匹配 的 规则 ,在 
'dev/ FINARE EtA 


MANR er 


第 见 的 硬件 命名 如 下 : 
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硬件 设备 文件 名 称 

IDE 设备 / dev/hdla-d] 

SCSI/SATA/U /dev/sd[a-p] 

软驱 / dev/fd[O-1] 

打印 机 /dev/Ip[0-15] 

光驱 /dev/cdrom 

鼠标 /dev/mouse 

磁带 机 /dev/stO 或 /dev/htO(IDE 设备 ) 


因为 现在 的 IDE 设备 已 经 很 少见 路 ， 所 以 一 般 硬 盘 设 备 都 会 是 以 “/dev/sd ”开头 的 ， 而 一 合 主机 上 可 以 有 多 块 看 
盘 ， 系 统 便 会 用 ap 来 代表 16 块 不 同 的 硬盘 (默认 从 a 开始 分 配 ) 且 分 区 编号 也 很 有 讲究 。 

主 分 区 编号 从 1 开始 至 4 结 来 ， 按 顺序 〈 也 可 指定 分 配 数字 )。 

逻辑 分 区 从 编号 5 开始 按 顺 序 (也 可 指定 分 配 数字 )。 

那么 来 分 析 下 ”/dev/sda5“ 代 表 着 什么 硬件 设备 吧 ~ 


硬件 设备 文件 hd 表示 IDE 设 备 
所 在 的 目录 sd 表示 SC SI 设备 


/dev/sda5 


分 区 的 顺序 号 ， 以 数字 
1. 2. 3... 











硬盘 的 顺序 号 ， 以 字母 


a. b. EMG 





1 .首先 /dev 目录 下 的 都 是 硬件 。 

2. 其 次 sd 开头 的 是 存储 设备 。 

3. 然 后 a 代表 第 一 个 被 识别 到 的 设备 。 

4. 最 后 5 代表 它 是 逻辑 分 区 。 

简单 来 讲 :“ 这 是 第 一 块 硬盘 设备 中 编号 为 5 的 逻辑 分 区 ”， 物 理 中 的 存储 会 是 这 样 的 : 


第 一 块 SC SI 硬盘 设备 
Idevisda 扩展 分 区 
第 2 个 主 分 区 第 1 个 逻辑 分 区 | 第 2 个 逻辑 分 区 
Idevisda2 Idevisda5 


Idevisda6 









第 1 个 主 分 区 
Idev/sda1 






63 文件 系统 与 数据 资料 


文件 ， 而 在 Linux 系统 中 支持 超过 数 十 种 文件 管理 系统 可 供 选 择 ， 和 常见 的 好 下: 
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Ext3 是 一 款 日 志文 件 系统 能 够 在 异常 停机 中 避免 文件 系统 资料 不 一 致 的 情况 ， 自 动 修复 数据 的 不 一 致 与 错误 ， 然 而 
一 般 重 整 文件 系统 相当 耗费 时 间 (尤其 容量 大 的 硬盘 )， 当 然 也 不 能 保证 100% 资 料 不 流失 。 它 将 会 将 整个 磁盘 的 写 
入 动作 预先 记录 下 来 〈 每 个 细节 )， 所 以 在 异常 停机 后 可 以 回溯 追踪 到 被 中 断 的 部 分 。 
Ext4 可 以 成 为 Ext3 的 后 继 版 本 ， 作 为 RHEL6 系统 的 默认 文件 管理 系统 ， 其 支持 更 大 的 文件 系统 到 1EB 
(1EB=1,073,741,824GB 且 能 够 有 无 限 多 的 子 目 录 ), 另外 Ext4 文件 系统 能 够 批量 分 配 block 块 并 作 ”Extents” 极 
大 的 提高 了 读 写 效率 。 
XFS 作为 RHEL7 默认 的 文件 管理 系统 ， 它 的 日 志 型 文件 管理 系统 的 优势 在 意外 关机 后 尤其 明显 ， 可 以 快速 的 恢复 可 能 
被 破坏 的 文件 , 另外 经 过 优化 后 日 志 功能 对 硬盘 性 能 影响 非常 小 , 同时 最 大 支持 18EB 的 存储 容量 满足 了 几乎 所 有 需求 。 
讲课 的 时 候 我 喜欢 举 得 一 个 例子 ， 和 希望 能 够 帮助 大 家 理解 这 个 概念 。 





“ 当 我 们 拿 到 了 一 张大 白 纸 ， 首 先 为 了 使 用 方便 要 裁剪 ， 然 后 为 了 书写 工整 要 先 画 格 。 
这 里 的 “ 白 纸 ” 就 是 原始 的 硬盘 而 “裁剪 ”意味 着 分 区 ， 然 后 的 “ 画 格 ”就 是 格式 化 啦 ， 最 后 写 入 内 容 。 
因为 硬盘 要 保存 的 数据 实在 太 多 了 ， 所 以 一 定 要 有 个 叫 super block 的 “硬盘 地 图 ”并 在 上 面 记 录 着 整个 文件 系统 
的 信息 ， 但 绝 不 可 能 把 数据 直接 写 到 这 个 大 地 图 中 ， 因 为 这 样 的 话 会 导致 它 “ 很 大 ”， 查 询 与 写 入 速度 会 变 得 非常 
慢 ， 于 是 每 个 文件 的 权限 与 属性 都 会 记录 在 inode table 中 (每 个 文件 都 会 占用 一 个 独立 的 inode 表格 ， 默 认为 
128bytes)， 记 录 着 : 

该 文件 的 访问 权限 (read,write,execute) 

该 文件 的 所 属 主 与 组 (owner,group) 

该 文件 的 大 小 (size) 

该 文件 的 创建 或 状态 修改 时 间 (ctime) 

该 文件 的 最 后 一 次 访问 时 间 (atime) 

该 文件 的 修改 时 间 (mtime) 

文件 的 特殊 权限 (SUID,SGID,SBIT) 

该 文件 的 真实 数据 地 址 (point) 
而 实际 的 数据 则 保存 在 block 块 中 (大 小 可 以 是 1K、2K 或 4K)， 下 面 的 说 明 中 ， 我 们 以 AK 为 例 。 
情况 一 : 文件 体积 很 小 (1K)， 那 么 依然 会 占用 一 个 block， 潜 在 的 浪费 3K。 
情况 二 : 文件 体积 很 大 (5K)， 那 么 会 占用 两 个 (5K-4K 剩 下 的 1K 也 要 占用 一 个 block)。 
一 个 inode 大 小 仅 为 128bytes (Ext3)， 但 记录 一 个 block 则 消耗 4bytes， 当 写 inode 被 占 满 后 会 取出 一 个 block 
用 于 号 码 记 录 而 不 再 是 保存 实际 的 文件 系统 。2 





6.4 挂 载 硬 件 设备 


挂 载 操作 指 的 是 当 用 户 需要 使 用 硬 扒 设备 或 分 区 数据 时 , 需要 先 将 其 与 一 个 已 存在 的 目录 文件 做 关联 , 而 这 个 动作 就 叫 “ 挂 载 ”。 
mount 命令 用 于 挂 载 文件 系统 ， 格 式 为 : "mount 文件 系统 挂 载 目录 ”。 
将 光盘 文件 挂 载 :“mount /dev/cdrom /media/cdrom" , 





参数 作用 
-a 挂 载 所 有 在 /etc/fstab 中 定义 的 文件 系统 
Ei 指定 文件 系统 的 类 型 


如 果 需 要 将 设备 ”/dev/sdb2“ 挂 载 到 ”/backup“ 目 录 ， 文 件 格式 为 ext4， 该 如 何 操作 那 ? 
执行 命令 : mount /dev/sdb2 /backup 
很 惊讶 吗 ?mount 命令 只 需要 填写 设备 与 挂 载 目 录 人 参数 即 可 ， 一 般 来 讲 系统 会 自动 去 判断 要 挂 载 文件 的 类 型 ~ 
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使 用 mount 命令 执 行 挂 载 操作 后 立即 就 可 以 使 用 该 文件 系统 了 ， 但 重启 后 则 失效 。 邵 果 想 让 重启 后 依然 生效 ， 我 们 
就 必须 将 挂 载 信 息 按照 指定 的 格式 写 入 到 /etc/fstab 文件 中 。 
“/etc/fstab” 包 含 着 文件 系统 与 挂 载 信 息 等 内 容 ， 因 为 过 于 重要 ， 所 以 只 有 root 用 户 才 可 以 编辑 它 。 
填写 格式 如 下 : “设备 文件 挂 载 目 录 格式 类 型 权限 选项 自 检 优先 级 ” 


设备 文件 : 一 般 为 设备 的 路 径 + 名 称 ， 也 可 以 写 UUID 值 等 。 
挂 载 目录 : 指定 要 挂 载 到 的 目录 ， 需 挂 载 前 创建 好 。 
格式 类 型 : 即 指定 文件 系统 的 格式 ， 比 如 有 ext3/ext4/xfs/iso9660/swap 等 。 
权限 选项 : 默认 为 defaults(rw,suid,dev,exec,auto,nouser,async)， 可 指定 acl 或 quota 等 。 
自 检 : OM 1 则 开机 后 进行 磁盘 自 检 ，0 为 不 自 检 。 
优先 级 : 者 “ 自 检 ”为 1， 则 可 对 多 块 硬盘 进行 优先 级 设置 。 
定义 设备 ”/dev/sdb2“ 开 机 自动 挂 载 到 ”/backup“ 上 目录， 文件 格式 为 ext4， 默 认 权 限 且 无 需 开 机 自 检 : 
正确 写法 : “/dev/sdb2 /backup ext4 defaults 0 0” , 
当 读 者 挂 载 光盘 镜像 的 时 候 请 将 文件 类 型 设置 为 iso9660, 其 余 设备 类 型 请 结合 实际 情况 灵活 使 用 。 
umount 命令 用 于 撤销 已 经 挂 载 的 设备 文件 ， 格 式 为 : “umount [ 挂 载 点 /设备 文件 ]”。 
取消 对 /dev/sdb2 设备 文件 的 挂 载 : 
[root@linuxprobe ~|# umount /dev/sdb2 


6.5 添加 硬盘 设备 


当 全 新 安装 了 一 块 新 的 硬盘 设备 后 ， 为 了 更 充分 、 安 全 的 利用 硬盘 空间 首先 要 进行 磁盘 的 分 区 ， 然 后 格式 化 ， 最 后 挂 载 使 用 。 
模拟 训练 :对 新 添加 的 硬盘 设备 进行 分 区 、 格 式 化 并 挂 载 到 /newFS 目录 。 
第 1 步 : 在 虚拟 机 中 添加 用 来 做 逻辑 卷 实验 的 硬盘 。 第 2 步 : 选择 磁 一 。 
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第 3 步 : 选择 磁盘 类 型 。 
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< 上 一 步 (8) | | 下 一 步 (N) > 


第 5 步 : 设置 磁盘 的 大 小 。 








底盘 大 小 为 多 少 ? 


最 大 诬 兰 大 小 (SB)(5)- 20.0 7. 
竺 对 Red Hat Enterprise Linux 7 64 位 的 水 议 大 小 : 20 GB 
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文件 名 : — 杂 妥 企业 版 RHEL7_xB6_64-0-vmdk 























第 7 步 : 成 功 添 加 的 看 一 出 现在 列表 中 。 














第 2 步 :将 新 添加 的 硬盘 进行 分 区 。 


设备 摘要 
L kid 2 GB 
aHes 1 
22W&scsi) 20 GB 
EET EIGE 20 GB 
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Byars Bip 
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LIRE IEERHEL7. x86, 64-0.vrmdk 


g 

当前 大 小 : 2.6 MB 

系统 可 用 空间 : 48.8 GB 

最 大 大 小 : 20 GB 

磁盘 信息 

Su*s5 RIOT. 

硬盘 内 容 存储 在 等 个 文件 中 。 

HEXRHIR 
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fdisk 命令 用 于 管理 磁盘 分 区 ， 格 式 为 : “fdisk [8 5 RT - 


管理 某 硬盘 的 分 区 :“fdisk /dev/sda" 
参数 TE f 


m 查看 全 部 可 用 的 参数 
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n 添加 新 的 分 区 


删除 茶 个 分 区 信息 


列 出 所 有 可 用 的 分 区 类 型 


改变 某 个 分 区 的 类 弄 
p 查看 分 区 表 信息 
w 保存 并 退出 
q 不 保存 直接 进出 


使 用 fdisk 命令 对 sdb 硬盘 进行 分 区 : 
[root@linuxprobe ~|# fdisk /dev/sdb 


Welcome to fdisk (util-linux 2.23.2). 

Changes will remain in memory only, until you decide to write them. 
Be careful before using the write command. 

Device does not contain a recognized partition table 

Building a new DOS disklabel with disk identifier Ox47d24a34. 
AETR p 查看 分 区 表 信息 〈 当 前 为 空 ) : 

Command (m for help): p 

Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 2 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disk label type: dos 

Disk identifier: Ox47d24a34 

Device Boot Start End Blocks Id System 

B ne ee xts sg: 

Command (m for help): n 

裔 击 字符 p， 这 个 p 代表 是 主 分 区 ，e 为 扩展 分 区 : 

Partition type: 

p primary (0 primary, O extended, 4 free) 

e extended 

Select (default p): p 

AEAF 1 代表 分 区 编号 为 1: 

Partition number (1-4, default 1): 1 

磁盘 的 起 始 马 区， 直接 回 车 即 可 : 

First sector (2048-41943039, default 2048): 

键入 +2G， 代 表 该 分 区 的 大 小 为 2G: 

Using default value 2048 


Last sector, +sectors or *size(K,M,C] (2048-41943039, default 41943039): +2G 


Partition 1 of type Linux and of size 2 GiB is set 


再 看 下 分 区 表 信息 (增加 了 sdbl 分 区 信息 ): 
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Command (m for help): p 
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 
Disk identifier: Ox47d24a34 
Device Boot Start End Blocks Id System 
/dev/sdbi 2048 4196351 2097152 83 Linux 
项 击 字符 w， 将 上 述 分 区 信息 保存 : 
Command (m for help): w 
The partition table has been altered! 
Calling ioctl() to re-read partition table. 
Syncing disks. 
让 内 核 同 步 分 区 信息 〈 此 步骤 仅 在 没有 找到 分 区 设备 的 情况 下 才 需 要 执行 ， 非 必要 动作 。): 
[rootelinuxprobe ~|# partprobe 
第 3 步 :格式 化 为 xfs 文件 系统 。 
在 Linux 系统 中 用 于 格式 化 的 命令 是 mkfs， 它 支持 的 文件 类 型 有 : 
cramfs,ext2,ext3,ext4 fat,msdos,xfs,btrfs,minix,vfat 
使 用 方法 非常 的 简单 : ”mkfs. 文 件 类 型 名 称 “,， 例如 要 格式 分 区 为 ext4， 则 命令 为 ”mkfs.ext4 硬盘 分 区 名 称 “。 
使 用 mkfs.xfs 来 对 /dev/sdb1 进行 格式 化 : 
[root@linuxprobe ~|# mkfs.xfs /dev/sdb1 


第 4 步 :将 硬盘 设备 挂 载 到 /newFS 目录 。 
[rootelinuxprobe ~|# mkdir /newFS 
[root&elinuxprobe ~|# mount /dev/sdb1 /newFS/ 
第 5 步 :设置 系统 启动 后 自动 挂 载 该 硬盘 设备 。 
[root@linuxprobe ~|# vim /etc/fstab 

/dev/sdb1 /newFS xfs defaults O 0 

第 6 步 : 查看 文件 系统 的 使 用 情况 。 

好 棒 ! 我 们 现在 就 可 以 通过 访问 /newFS 目录 来 使 用 硬盘 资源 啦 ! 田 外 多 教 给 您 几 条 用 于 日 常 了 解 硬盘 使 用 情况 的 命令 : 
df 命令 用 于 查看 挂 载 点 信息 与 磁盘 使 用 量 ， 格 式 为 : “df [选项 ] [文件 ]”。 
查看 挂 载 信息 与 硬盘 使 用 量 :“df -h” 


参数 作用 

d 显示 出 所 有 的 文件 系统 (包括 虚拟 的 ) 
--total 展 出 出 总 体 使 用 量 

-h 更 易 读 的 容量 格式 如 1K,234M,2G… 


-i 展示 出 Inode 的 信息 GRU ÆR S (78 eR) 
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eal 显示 出 文件 系统 的 类 型 


查看 到 所 有 已 挂 载 的 挂 载 信 息 与 硬盘 使 用 情况 : 
[rootelinuxprobe ~|# df -h 
Filesystem Size Used Avail Use?6 Mounted on 
/ dev/mapper/rhel-root 18G 3.5G 15G 2096 / 
devtmpfs 905M 0 905M 096 /dev 
tmpfs 914M 140K 914M 196 /dev/shm 
tmpfs 914M 8.8M 905M 196 /run 
tmpfs 914M O 914M O% /sys/fs/cgroup 
/dev/srO 3.5G 3.5G O 10096 /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 
/dev/sdb1 2.0G 33M 2.0G 2% /newFS 
du 命令 用 于 查看 磁盘 的 使 用 量 ， 格 式 为 : “ du AR [XAH - 
查看 根 目 录 中 各 文件 夹 所 占 空间 :du -sh / 
查看 当前 目录 下 各 文件 所 占 空间 :du -sh * 


参数 作用 

评估 每 个 文件 而 非 目 录 整 体 占用 量 。 
-C 评估 每 个 文件 并 计算 出 总 占用 量 总 和 。 
-h 更 易 读 的 容量 格式 如 1K,234M,2G… 
-S 仅 显 示 占 用 量 总 和 。 


复制 一 些 文件 到 新 的 分 区 (省 略 部 分 复制 过 程 信息 ) : 
[root&linuxprobe ~|# cp /etc/* /newFS/ 

cp: omitting directory "/etc/abrt' 

cp: omitting directory  /etc/alsa' 

cp: omitting directory  /etc/festival' 

cp: omitting directory "/etc/yum' 

cp: omitting directory "/etc/yum.repos.d' 
查看 到 该 挂 载 目录 的 占用 硬盘 量 : 
[root@linuxprobe ~|# du -sh /newFS/ 
1.3M /newFS/ 


6.6 添加 交换 分 区 


SWAP 即 交 换 分 区 是 一 种 类 似 于 Windows 系统 虚拟 内 存 的 功能 ， 将 一 部 分 硬盘 空间 虚拟 成 内 存 来 使 用 ， 从 而 解决 内 
存 容量 不 足 的 情况 ， 因 为 SWAP 毕竟 是 用 硬盘 资源 虚拟 的 ， 所 以 速度 上 比 真实 物理 内 存 要 慢 很 多 ， 一 般 只 有 当真 实 
物理 内 存 耗 尽 时 才 会 调用 SWAP. 

第 1 步 :在 虚拟 机 中 添加 用 来 做 软 辑 卷 实 验 的 硬盘 。 
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第 2 步 : ARAA. 
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第 5 步 : 设置 磁盘 的 大 小 。 





底盘 大 小 为 多 少 ? 
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5 63: 默认 的 磁盘 名 称 即 可 。 
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第 7 步 : 成 功 添加 的 硬盘 出 现在 列表 中 。 
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第 2 步 :将 新 添加 的 硬盘 进行 分 区 。 
对 新 添加 的 硬盘 设备 分 区 : 
[root@linuxprobe ~|# fdisk /dev/sdb 
Welcome to fdisk (util-linux 2.23.2). 


Changes will remain in memory only, until you decide to write them. 


Be careful before using the write command. 


Device does not contain a recognized partition table 


Building a new DOS disklabel with disk identifier Oxb3d27cel. 


创建 新 的 分 区 信息 : 

Command (m for help): n 

Partition type: 

p primary (O0 primary, O extended, 4 free) 

e extended 

类 型 为 主 分 区 : 

Select (default p): p 

分 区 号 为 1。 

Partition number (1-4, default 1): 1 

其 实 局 区 直接 敲 击 回 车 ， 默 认为 2048 即 可 : 
First sector (2048-41943039, default 2048): 
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Using default value 2048 

结束 扁 区 部 分 输入 +5G， 设 置 分 区 大 小 为 5G: 

Last sector, «sectors or *size(K,M,C] (2048-41943039, default 41943039): +5G 
Partition 1 of type Linux and of size 5 GiB is set 
修改 分 区 的 类 型 : 

Command (m for help): t 

Selected partition 1 

查看 可 用 的 分 区 类 型 : 

Hex code (type L to list all codes): L 

输入 82 代表 swap 分 区 : 

Hex code (type Lto list all codes): 82 

Changed type of partition Linux to Linux swap / Solaris 

再 次 查看 分 区 表 信 息 (已 有 分 区 信息 ): 

Command (m for help): p 

Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disk label type: dos 

Disk identifier: Oxb3d27cel 

Device Boot Start End Blocks Id System 

/dev/sdbl1 2048 10487807 5242880 82 Linux swap / Solaris 
保存 分 区 表 的 设置 : 

Command (m for help): w 

The partition table has been altered! 

Calling ioctl() to re-read partition table. 


Syncing disks. 


让 内 核 同 步 分 区 信息 (此 步骤 仅 在 没有 找到 分 区 设备 的 情况 下 才 需 要 执行 ， 非 必要 动作 。): 


[root@linuxprobe ~|# partprobe 

将 sdbl 分 区 设备 格式 化 为 swap 类 型 : 
[root@linuxprobe -]* mkswap /dev/sdb1 

setting up swapspace version 1, size - 5242876 KiB 
no label, UUID22972f9cb-17f0-4113-84c6-c64b97c40c75 
查看 当前 的 内 存 使 用 量 情 况 ，SWAP 大 小 为 2047: 
[root@linuxprobe ~|# free -m 

total used free shared buffers cached 

Mem: 1483 782 701 9 0 254 

-/ * buffers/cache: 526 957 

Swap: 2047 O 2047 

将 sdbl 的 SWAP 分 区 启用 : 

[rootelinuxprobe ~|# swapon /dev/sdb1 
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再 次 查看 当前 系统 的 内 存 使 用 量 情况 (此 时 SWAP X 7167m): 


[rootelinuxprobe ~|# free -m 

total used free shared buffers cached 
Mem: 1483 785 697 9 0 254 

-/ * buffers/cache: 530 953 

Swap: 7167 O 7167 

设置 为 开机 后 自动 挂 载 该 SWAP 分 区 设备 : 
[root@linuxprobe ~|# vim /etc/fstab 
/dev/sdb1l swap swap defaults O O 


6.7 磁盘 宛 余 阵列 


1988 年 由 加 利 福 尼 亚 大 学 伯克利 分 校 发 表 的 文章 首次 提 到 并 定义 了 RAID, 当今 CPU 性 能 每 年 可 提升 30%-50% 但 硬盘 仅 
提升 7%， 渐 渐 的 已 经 成 为 计算 机 整体 性 能 的 瓶颈 ， 并 且 为 了 避免 硬盘 的 突然 损坏 导致 数据 丢失 还 加 入 了 元 余 备份 机 制 。 
RAID 的 早先 设计 理念 为 ”redundant array of Inexpensive disks“ 即 不 呐 的 硬盘 组 ， 而 现在 的 定义 是 ”Redundant 
Array ofIndependent Disks“ 即 独立 的 硬盘 组 ， 作 用 是 防止 硬盘 物理 损坏 以 及 增加 存储 设备 的 吞吐 量 。RAID 常见 

的 组 合 有 0、1、5 和 10: 

RAIDO: 需 要 至 少 两 块 ( 含 ) 硬 盘 ， 可 以 有 效 的 提高 硬盘 的 性 能 和 吞吐 量 ， 但 没有 数据 的 元 余 和 错误 修复 能 力 。 


RAID 0 


striping 





将 多 块 硬盘 通过 硬件 或 软件 的 方式 串联 在 一 起 ， 成 为 一 个 大 的 卷 集 ， 将 数据 依次 写 入 到 各 个 硬盘 中 ， 这 样 性 能 会 极 大 
提升 ， 但 老 任 意 一 块 硬盘 故障 则 你 个 系统 的 数据 都 会 受到 破坏 。 
RAID1: 需 要 至 少 两 块 ( 含 ) 硬 盘 ， 可 以 有 效 的 提高 数据 资料 的 安全 性 和 可 修复 性 ， 但 成 本 却 提 高 了 。 


RAID 1 


mirroring 
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实现 原来 是 在 数据 写 入 硬盘 时 也 会 在 另外 一 块 闲置 的 硬盘 上 生成 镜像 文件 ， 在 不 影响 性 能 的 情况 下 最 大 限度 保证 数 
据 资 料 的 可 靠 性 ， 只 要 在 一 对 镜像 盘 中 还 有 一 块 硬盘 可 以 使 用 ， 那么 数据 也 不 会 丢失 ， 具 有 很 好 的 硬盘 宛 余 能 力 ， 虽 
然 对 数据 来 讲 绝对 的 安全 ， 但 成 本 却 明 显 增加， 磁盘 利用 率 仅 为 50%。 
RAID5: 需 要 至 少 三 块 ( 含 ) 硬 盘 ， 兼 顾 存 储 性 能 、 数 据 安 全 和 储存 成 本 。 


RAID 5 


parity across disks 








block 32 
Boc th parity 
E ry 


如 上 图 所 示 ”parity” 块 中 保存 的 是 其 他 硬盘 数据 的 奇偶 校 验 信 息 (并非 其 他 硬盘 的 数据 )， 以 数据 的 奇偶 校 验 信 息 
来 保证 数据 的 安全 ，RAID5 不 以 单独 的 硬盘 来 存放 数据 的 奇偶 校 验 信息 ， 而 是 保存 在 各 个 磁盘 上 。 

这 样 当 任何 一 个 硬盘 损坏 都 可 以 根据 其 他 硬盘 上 的 奇偶 校 验 信息 来 尝试 重建 损坏 的 数据 ， 性 能 也 很 高 ， 兼 顾 了 存储 
性 能 、 数 据 安 全 和 存储 成 本 ， 可 以 看 作 是 RAIDO 与 RAID1 的 折 中 方案 。 

RAID10: 和 需要 至 少 四 块 ( 含 ) 硬盘 ， 兼 具 速 度 和 安全 性 ， 但 成 本 很 高 。 


iJ 





RAID 10 
PAID O 
RAID 1 PAID 1 


继承 了 RAIDO 的 快速 与 RAID1 的 安全 ，RAID1 在 这 里 提供 了 元 余 备 份 的 阵列 ， 而 RADO 则 负责 数据 的 读 写 阵列 。 

因 这 种 结构 的 成 本 高 ， 一 般 用 于 存放 要 求 速度 与 差错 控制 的 数据 。 

mdadm 命令 用 于 管理 系统 软件 RAID 硬盘 阵列 , 格式 为 :”mdadm [模式 | <RAID 设备 名 称 > [选项 ] [成 员 设 备 名 称 ]”。 
mdadm 管理 RAID 阵列 的 动作 有 : 


名 称 TE f 
Assemble 将 设备 加 入 到 以 前 定义 的 阵列 
Build 创建 一 个 没有 超级 块 的 阵列 


Create 创建 一 个 新 的 阵列 ， 每 个 设备 具有 超级 块 。 


Vo NAA NUN 
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Manage 


Misc 


Follow or Monitor 


Grow 
mdadm 管理 RAID 阵列 的 参数 有 : 
参数 


模拟 训练 :RAID10 配置 流程 : 
第 1 步 :在 虚拟 机 中 再 添加 4 块 硬盘 : 


管理 阵列 (如 添加 和 删除 )。 
允许 单独 对 阵列 中 的 某 个 设备 进行 操作 〈 如 停止 阵列 )。 
监控 状态 。 


改变 阵列 的 容量 或 设备 数目 。 


作用 
检测 设备 名 称 
指定 设备 数量 


指定 raid 级 别 


模拟 设备 损坏 
移 除 设备 
添加 设备 
查看 摘要 信息 
查看 详细 信息 


停止 阵列 
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虚拟 机 设置 iml 














硬件 | 选项 | 








设备 搞 要 内 存 
Ls MAMMMENUAMLO HMMUENEPHERNENUDPENAK:. c iE Mem 
mpi. 3 "^ 
edipi ins dm 此 虚拟 机 的 内 存 (M): — 2048 .— MB 
二 硬盘 2(SCSI) 20 GB 
iE 3(SCSI) 20 GB 
二 硬盘 4 (SCSI) 20 GB 3GB 
CAE 5 (SCSI) 20 GB 20 -G 4 
"J CD/DVD (SATA) 正在 使 用 文件 D: RHEL-server-... T 
Feriis RENE ren "ms 
anra 自动 检测 512 MB Mor Ale 
256 MB 6280 MB 
a 3 建议 内 存 


64 MB 2048 MB 


日 建议 的 最 小 客户 机 操作 系统 内 存 
16 MB 1024 MB 


A 必须 先 关 闭 虚 拟 机 ， 才 能 降低 内 存量 。 


Jp 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 "显示 器 "设置 内 面 中 更 约 此 数 鲁 。 











第 2 步 :使 用 mdadm 命令 创建 RAID10, 名 称 为 ”/dev/md0”。 
-C 代表 创建 操作 ，-V 显示 创建 过 程 ，-a yes 检查 RAD 名 称 ，-n 是 用 到 的 硬盘 个 数 ，-| 是 定义 RAID 的 级 别 而 后 面 写 
上 要 加 入 阵列 的 硬盘 名 称 。 
[root@linuxprobe ~|#mdadm -Cv /dev/md0O -a yes -n 4 -1 10 /dev/sdb /dev/sdc /dev/sdd /dev/sde 
mdadm: layout defaults to n2 
mdadm: layout defaults to n2 
mdadm: chunk size defaults to 512K 
mdadm: size set to 20954624K 
mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md0O started. 
第 3 步 :格式 化 并 挂 载 使 用 
将 RAID 磁盘 阵列 格式 化 为 ext4 格式 : 
[root@linuxprobe ~|# mkfs.ext4 /dev/mdO 
mke2fs 1.42.9 (28-Dec-2013) 
Filesystem label- 
OS type: Linux 
Block size-4096 (log-2) 
Fragment size-4096 (log-2) 
stride-128 blocks, Stripe width=256 blocks 
2621440 inodes, 10477312 blocks 
523865 blocks (5.0096) reserved for the super user 
First data block=0 
Maximum filesystem blocks-2157969408 
320 block groups 
32768 blocks per group, 32768 fragments per group 
8192 inodes per group 
superblock backups stored on blocks: 
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
4096000, 7962624 
Allocating group tables: done 
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Writing inode tables: done 
Creating journal (32768 blocks): done 
Writing superblocks and filesystem accounting information: done 
创建 挂 载 目录 : 
[rootelinuxprobe ~|# mkdir /RAID 
进行 文件 系统 的 挂 载 : 
[rootelinuxprobe -]* mount /dev/mdO /RAID 
查看 磁盘 挂 载 信息 : 
[root@linuxprobe ~|# df -h 
Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17%/ 
devtmpfs 905M 0 905M 0% /dev 
tmpfs 914M 84K 914M 196 /dev/shm 
tmpfs 914M 8.9M 905M 1% /run 
tmpfs 914M O 914M O% /sys/fs/cgroup 
/dev/srO 3.5G 3.5G 0 10096 /media/cdrom 
/dev/sdal 497M 119M 379M 249% /boot 
/dev/mdO 40G 49M 38G 196 /RAID 
将 此 磁盘 阵列 挂 载 信 息 设 置 为 重启 后 也 依然 生效 : 
[rootelinuxprobe ~|# echo "/dev/md0 /RAID ext4 defaults O 0 >> /etc/fstab 
第 4 步 :查看 /dev/md0 设备 信息 
参数 -D 查看 RAID 阵列 的 详细 信息 : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
/ dev/mdO0: 
Version : 1.2 
Creation Time : Tue May 5 07:43:26 2015 
Raid Level : raid10 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 4 
Total Devices : 4 
Persistence : Superblock is persistent 
Update Time : Tue May 5 07:46:59 2015 
State : clean 
Active Devices : 4 
Working Devices : 4 
Failed Devices : O 
Spare Devices : O 
Layout : near-2 
Chunk Size : 512K 
Name : localhost.localdomain:O (local to host localhost.localdomain) 
UUID : cc9387d4:1e89e1775:5383e1e8:a78ec62c 
Events : 17 


Number Major Minor RaidDevice State 
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08160active sync /dev/sdb 

1 8 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 
第 5 步 :模拟 有 1 块 硬盘 损坏 的 情况 
使 用 mdadm 的 于 参数 将 /dev/sdb 移出 阵列 : 
[root@linuxprobe ~|# mdadm /dev/ mdo -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/mdO 
再 看 下 阵列 的 状态 (此 时 的 /dev/sdb 状态 被 是 移 除 ， 失 败 状 态 ) : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 

/dev/ md0: 

Version : 1.2 

Creation Time : Fri May 8 08:11:00 2015 

Raid Level : raid10 

Array Size : 41909248 (39.97 GiB 42.92 GB) 

Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 

Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Fri May 8 08:27:18 2015 

state : clean, degraded 

Active Devices : 3 

Working Devices : 3 

Failed Devices : 1 

Spare Devices : O 

Layout : near-2 

Chunk Size : 512K 

Name : linuxprobe.com:O (local to host linuxprobe.com) 

UUID : f2993bbd:99c1eb63:bd61d4d4:3f06c3bO 

Events : 21 

Number Major Minor RaidDevice State 

O O 0 0 removed 

1 8 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 

O 8 16 - faulty /dev/sdb 
第 6 步 :损坏 后 依然 正常 使 用 
因为 RAID10 级 别 能 够 允许 一 组 RAID1 硬盘 中 存在 一 个 故障 枪 而 不 影响 使 用 ， 所 以 依然 可 以 正常 的 创建 或 删除 文件 ~ 
现在 就 把 新 的 硬盘 添加 进去 吧 ， 当 然 也 可 以 让 硬盘 sdb 恢复 使 用 :请 重启 后 执行 “mdadm /dev/md0 -a /dev/sdb”。 
第 7 步 :设置 元 余 备 份 磁盘 
现在 发 现 了 一 个 问题 没 ? 运 维 人 员 需 要 在 硬盘 硬件 出 现 故 障 后 手工 添加 新 的 磁盘 进去 ， 这 样 会 不 会 比较 不 方便 ? 
假如 初始 化 RAID5 阵列 时 直接 给 予 4 块 硬盘 , 其 中 1 块 硬盘 设备 用 于 在 阵列 某 块 磁盘 故障 时 自动 的 蔡 换 上 去 , 这 样 很 棒 吧 ! 
先 将 磁盘 系统 印 载 : 


[root@linuxprobe ~|# umount /dev/mdO 
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停止 该 阵列 设备 ， 彻 底 的 信用 : 
[root@linuxprobe ~|# mdadm -S /dev/mdO 
mdadm: stopped /dev/mdO 
现在 该 阵列 已 经 找 不 到 了 : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
mdadm: cannot open /dev/md0O: No such file or directory 
创建 RAID5 并 设置 1 348 D C BER 
[rootelinuxprobe ~|# mdadm -Cv /dev/md0 -n 3 -1 5 -x 1 /dev/sdb /dev/sdc /dev/sdd /dev/sde 
mdadm: layout defaults to left-symmetric 
mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 
mdadm: /dev/sdb appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: /dev/sdc appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: /dev/sdd appears to be part of a raid array: 
level=raid 10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: /dev/sde appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: size set to 20954624K 
此 处 需要 输入 y， 确 认 创 建 这 个 阵列 : 
Continue creating array? y 
mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md0O started. 
查看 下 阵列 的 详细 信息 (Spare Devices 数量 为 1): 
[rootelinuxprobe ~|# mdadm -D /dev/mdO 
/dev/ md0: 
Version : 1.2 
Creation Time : Fri May 8 09:20:35 2015 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 
Total Devices : 4 
Persistence : Superblock is persistent 
Update Time : Fri May 8 09:22:22 2015 
state : clean 
Active Devices : 3 
Working Devices : 4 
Failed Devices : O 
Spare Devices : 1 
Layout : left-symmetric 
Chunk Size : 512K 


Name : linuxprobe.com:O (local to host linuxprobe.com) 
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UUID : 44b1a152:3f1809d3:1d234916:4ac70481 
Events : 18 
Number Major Minor RaidDevice State 
O 8 16 0 active sync /dev/sdb 
1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
3 8 64 - spare /dev/sde 
将 磁盘 阵列 格式 化 为 ext4 系统 : 
[rootelinuxprobe ~|# mkfs.ext4 /dev/mdO 
mke2fs 1.42.9 (28-Dec-2013) 
Filesystem label- 
OS type: Linux 
Block size-4096 (log-2) 
Fragment size-4096 (log-2) 
Stride=128 blocks, Stripe width=256 blocks 
2621440 inodes, 10477312 blocks 
523865 blocks (5.0096) reserved for the super user 
First data block=0 
Maximum filesystem blocks-2157969408 
320 block groups 
32768 blocks per group, 32768 fragments per group 
8192 inodes per group 
superblock backups stored on blocks: 
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
4096000, 7962624 
Allocating group tables: done 
Writing inode tables: done 
Creating journal (32768 blocks): done 
Writing superblocks and filesystem accounting information: done 
因为 前 面 设置 过 fstab 文件 ， 所 以 现在 可 以 直接 给 挂 载 : 
[root@linuxprobe ~|# mount -a 
将 /dev/sdb 设备 设置 为 故障 并 移出 阵列 : 
[root@linuxprobe ~|# mdadm /dev/ mdo -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/mdO 
再 来 看 下 阵列 的 详细 信息 (此 时 硬盘 sde 直接 顶 蔡 上 去 了 ): 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
/ dev/md0: 
Version : 1.2 
Creation Time : Fri May 8 09:20:35 2015 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 


Total Devices : 4 
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Persistence : Superblock is persistent 
Update Time : Fri May 8 09:23:51 2015 


State : active, degraded, recovering 


Active Devices : 2 

Working Devices : 3 

Failed Devices : 1 

Spare Devices : 1 

Layout : left-symmetric 
Chunk Size : 512K 

Rebuild Status : 096 complete 


Name : linuxprobe.com:O (local to host linuxprobe.com) 
UUID : 44b1a152:3£1809403:14d234916:4ac70481 


Events : 21 


Number Major Minor RaidDevice State 
3 8 64 0 spare rebuilding /dev/sde 


1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
O 8 16 - faulty /dev/sdb 


6.8 X SEES 


当 用 户 根据 实际 情况 需要 对 分 区 增加 、 减 小 等 调整 时 ， 经 常会 受到 硬盘 “灵活 性 ”的 限制 ， 很 不 方便 。 
逻辑 卷 管理 器 则 是 在 磁 一 分 区 与 文件 系统 之 间 添 加 的 逻辑 层 ， 提 供 一 个 抽象 的 卷 组 ， 使 得 管理 者 可 以 忽略 底层 磁盘 布局 ， 从 


而 实现 对 分 区 的 灵活 动态 调整 ， 这 毫 不 夸张 ， 所 以 红 帽 RHEL7 系统 已 经 默认 启用 了 LVM(Logical Volume Managen 机 制 。 


物理 卷 (PV,Physical Volume) : 
卷 组 (VG,Volume Group) 
3 383 (LV,Logical Volume) 








VG (#4) 
PV 《物理 卷 ) PV (物理 卷 ) 
z3 33 …… Z3 a3 3 |…… a a3 3 o zz [zz 
LII Bes irs sd 5d 
LV (E) LV ARE) 





整个 硬盘 设备 或 使 用 fdisk 命令 建立 的 硬盘 分 区 。 
: 由 一 个 或 多 个 物理 卷 CPV) 组 成 的 整体 


: 从 着 组 (VG) 出 切割 出 的 空间 来 用 于 创建 文件 系统 ， 大 小 由 PE 的 个 数 决定 。 


基本 单元 (PE,Physical Extent) 默认 为 4MB 的 基本 块 。 


功能 /命令 


扫描 


物理 卷 管理 卷 组 管理 逻辑 着 管理 
pvscan vgscan Ivscan 
pvcreate vgcreate Ivcreate 
pvdisplay vgdisplay Ivdisplay 
pvremove vgremove Ivremove 


vgextend lvextend 
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模拟 训练 A: 创 建 一 个 容量 为 150M WEHE vo, WARKA XFS 并 挂 载 到 /mnt/xfs。 
第 1 步 :在 虚拟 机 中 添加 1 块 用 来 做 欣 辑 卷 实验 的 硬盘 第 2 步 : XA. 
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第 3 步 : 选择 磁盘 类 型。 第 Abl 选择 创建 新 的 磁盘 。 
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第 5 步 : 设置 磁盘 的 大 小 。 第 6: 默认 的 磁盘 名 称 即 可 。 
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第 7 步 : 成 功 添加 的 硬盘 出 现在 列表 中 。 


| | | 设备 EE 
MA 7: 2 GB 
qeg 1 
w= scs) 20 GB 
CASHERSCSD 20 GB 
CD/DVD (SATA) 正在 促 用 文件 DORÉ ARHEL-server-... 
pings misit 
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$mBE Bii Ri 
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BRR) 


第 2 步 :创建 一 个 大 小 为 300M 的 分 区 (sdb1), 标 签 为 Ivm: 
对 硬盘 sdb 进行 分 区 : 

[root@linuxprobe ~|# fdisk /dev/sdb 

Device does not contain a recognized partition table 
创建 新 的 分 区 : 

Command (m for help): n 

类 型 为 主 分 区 : 

Partition type: 

p primary (O primary, O extended, 4 free) 

e extended 

Select (default p): p 

A Em AI: 

Partition number (1-4, default 1): 1 

直接 写 “+300M” 即 可 生成 大 小 为 300M 的 分 区 : 
First sector (2048-41943039, default 2048): 

Using default value 2048 


磁盘 文件 

红 相 企业 版 RHEL7_x85_64-0.vmdk 
uu 

NX: 2.6 MB 

FRATA: 48.8 GB 

最 大 大 小 : 20 G8 
imam 
STRIDOR TS: 
gatus: 


HIExmIB 


Ig -:3 
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Last sector, +sectors or +size{K,M,G} (2048-4 1943039, default 41943039): +300M 


Partition 1 of type Linux and of size 300 MiB is set 
查看 下 分 区 信息 : 

Command (m for help): p 

Device Boot Start End Blocks Id System 
/dev/sdbl 2048 616447 307200 83 Linux 
修改 分 区 类 型 : 

Command (m for help): t 

Selected partition 1 

修改 分 区 类 型 为 lvm (REŽ 86): 

Hex code (type L to list all codes): 8e 

Changed type of partition Linux to Linux LVM' 
再 看 下 分 区 信息 : 

Command (m for help): p 

Device Boot Start End Blocks Id System 
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/dev/sdb1 2048 309247 153600 8e Linux LVM 
确认 无 误 ， 写 入 分 区 表 信 息 : 

Command (m for help): w 

The partition table has been altered! 

Calling ioctl() to re-read partition table. 


Syncing disks. 


让 内 核 同 步 分 区 信息 (此 步骤 仅 在 没有 找到 分 区 设备 的 情况 下 才 需 要 执行 ， 非 必要 动作 。): 


[root@linuxprobe ~|# partprobe 

第 3 步 : 启 用 LVM 并 创建 vo XE 5838 248 346 ext4 格式 
将 新 建 的 分 区 设置 为 物理 卷 : 

[root@linuxprobe ~|# pvcreate /dev/sdb1 

Physical volume "/dev/sdb1" successfully created 

将 物理 卷 加 入 卷 组 : 

[root@linuxprobe ~|# vgcreate rhcsa /dev/sdb1 
Volume group 'rhcsa" successfully created 
查看 卷 组 信息 : 

[root@linuxprobe ~|# vgdisplay 

--- Volume group --- 

VG Size 296.00 MiB 

PE Size 4.00 MiB 

Total PE 74 

Alloc PE / Size O / O 

Free PE / Size 74 / 296.00 MiB 

VG UUID ShLPQU-Tc6f-PMsa-4tq5-iTOp-vSbI-sOafqG 
生成 大 小 为 37 个 PE WEHE (37* AMIB 为 148M): 
[rootelinuxprobe ~|# lvcreate -n vo -1 37 rhcsa 
Logical volume "vo" created 

格式 化 为 ext4: 

[rootelinuxprobe ~|# mkfs.ext4 /dev/rhcsa/vo 
Writing superblocks and filesystem accounting information: done 
创建 一 个 名 为 /rhcsa 的 目录 用 于 挂 载 该 次 辑 卷 。 
[root@linuxprobe ~|# mkdir /rhcsa 

挂 载 硬盘 设备 : 

[root@linuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 
查看 挂 载 信息 Ghcsa-vo 为 140M 是 合理 取 值 ) : 
[rootelinuxprobe ~|# df -h 

Filesystem Size Used Avail Use% Mounted on 

/ dev/mapper/rhel-root 18G 3.0G 15G 1796 / 
devtmpfs 905M 0 905M 0% /dev 

tmpfs 914M 140K 914M 196 /dev/shm 

tmpfs 914M 8.9M 905M 196 /run 

tmpfs 914M O 914M O% /sys/fs/cgroup 

/dev/sdal 497M 119M 379M 24% /boot 


/dev/srO 3.5G 3.5G 0 10096 /run/media/root/RHEL-7.0 Server.x86_64 
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/dev/mapper/rhcsa-vo 140M 1.6M 128M 2% /rhcsa 
模拟 训练 B: 将 上 个 实验 中 的 逻辑 卷 vo 容量 扩展 到 290M。 
若 要 对 LVM 进行 调整 ， 一 定 要 先 务 载 : 
[root@linuxprobe ~|# umount /rhcsa 
THE TOS RE] 290M: 
[root@linuxprobe ~|# lvextend -L 290M /dev/rhcsa/vo 
Rounding size to boundary between physical extents: 292.00 MiB 
Extending logical volume vo to 292.00 MiB 
Logical volume vo successfully resized 
检查 磁盘 完整 性 ， 重 置 硬盘 容量 : 
[rootelinuxprobe ~|# e2fsck -f /dev/rhcsa/vo 
/dev/rhcsa/vo: 11/38000 files (0.096 non-contiguous), 10453/151552 blocks 
[rootelinuxprobe ~|# resize2fs /dev/rhcsa/vo 
Resizing the filesystem on /dev/rhcsa/vo to 299008 (1k) blocks. 
The filesystem on /dev/rhcsa/vo is now 299008 blocks long. 
重新 挂 载 硬盘 设备 : 
[rootelinuxprobe -]* mount /dev/rhcsa/vo /rhcsa 
看 到 挂 载 信 息 GP BUS ANO 279M): 
[rootelinuxprobe ~|# df -h 
Filesystem Size Used Avail Use% Mounted on 
/ dev/mapper/rhel-root 18G 3.0G 15G 1796 / 
devtmpfs 905M 0 905M 0% /dev 
tmpfs 914M 140K 914M 196 /dev/shm 
tmpfs 914M 8.9M 905M 1% /run 
tmpfs 914M O 914M O% /sys/fs/cgroup 
/dev/sdal 497M 119M 379M 24% /boot 
/dev/srO 3.5G 3.5G 0 10096 /run/media/root/RHEL-7.0 Server.x86_64 
/ dev/mapper/rhcsa-vo 279M 2.1M 259M 1% /rhcsa 
模拟 训练 C: KEARE (PI GE HUS vo 容量 减 小 到 120M. 
ERARA: 
[root@linuxprobe ~|# umount /rhcsa 
检查 文件 系统 的 完整 性 : 
[rootelinuxprobe ~|# e2fsck -f /dev/rhcsa/vo 
e2fsck 1.42.9 (28-Dec-2013) 
Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 
Pass 5: Checking group summary information 
/dev/rhcsa/vo: 11/74000 files (0.096 non-contiguous), 15507/299008 blocks 
将 逻辑 卷 的 减 小 到 120M: 
[root@linuxprobe ~|# resize2fs /dev/rhcsa/vo 120M 
resize2fs 1.42.9 (28-Dec-2013) 
Resizing the filesystem on /dev/rhcsa/vo to 122880 (1k) blocks. 
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The filesystem on /dev/rhcsa/vo is now 122880 blocks long. 
使 用 Ivreduce 命令 将 文件 系统 调整 为 120M: 
[root@linuxprobe ~|# lvreduce -L 120M /dev/rhcsa/vo 
WARNING: Reducing active logical volume to 120.00 MiB 
THIS MAY DESTROY YOUR DATA (filesystem etc.) 
Do you really want to reduce vo? [y/n]: y 
Reducing logical volume vo to 120.00 MiB 
Logical volume vo successfully resized 
重新 挂 载 文件 系统 : 
[root@linuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 
dE dw, QESUE CAE D13M): 
[rootelinuxprobe ~|# df -h 
Filesystem Size Used Avail Use% Mounted on 
/ dev/mapper/rhel-root 18G 3.7G 14G 2196 / 
devtmpfs 734M O 734M 0% /dev 
tmpfs 742M 140K 742M 1% /dev/shm 
tmpfs 742M 8.8M 734M 2% /run 
tmpfs 742M O 742M O% /sys/fs/cgroup 
/dev/srO 3.5G 3.5G O 100% /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 
/ dev/mapper/rhcsa-vo 113M 1.6M 103M 2% /rhcsa 
模拟 训练 D: 使 用 逻辑 卷 快照 功能 
LVM 的 人 逻辑 卷 快照 功能 可 以 将 逻辑 卷 的 数据 保存 为 备份 、 以 及 快速 的 数据 恢复 。 
查看 到 座 辑 卷 详细 信息 容量 共计 296M， 已 用 120M， 剩 余 196M): 
[root@linuxprobe ~|# vgdisplay 

--- Volume group --- 

VG Name rhcsa 

System ID 

Format lvm2 

Metadata Areas 1 

Metadata Sequence No 4 

VG Access read/write 

VG Status resizable 

MAX LV O 

Open LV 1 

Max PV 0 

Cur PV 1 

Act PV ] 

VG Size 296.00 MiB 

PE Size 4.00 MiB 

Total PE 74 

Alloc PE / Size 30 / 120.00 MiB 

Free PE / Size 44 / 176.00 MiB 

VG UUID QxBS5f-beVv-FJnu-GKyu-UWWF-JS8x-ytiAN9 
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创建 原始 文件 ， 写 入 一 行文 字 : 
[root@linuxprobe ~|# echo "Welcome to Linuxprobe.com" > /rhcsa/readme.txt 
[root@linuxprobe ~|# ls /rhcsa 
lost+found readme.txt 
对 rhcsa 卷 组 的 vo 逻辑 卷 做 一 个 名 称 为 SNAP 而 大 小 为 150M 的 逻辑 卷 快照 : 
[root@linuxprobe ~|# lvcreate -L 150M -s -n SNAP /dev/rhcsa/vo 
Rounding up size to full physical extent 152.00 MiB 
Reducing COW size 152.00 MiB down to maximum usable size 124.00 MiB. 
Logical volume "SNAP" created 
查看 逻辑 卷 和 快照 的 信息 : 
[root@linuxprobe ~|# lvs 
LV VG Attr LSize Pool Origin Data% Move Log Cpy%Sync Convert 
SNAP rhcsa swi-a-s--- 124.00m vo 0.01 
vo rhcsa owi-aos--- 120.00m 
root rhel -wi-ao---- 17.51g 
swap rhel -wi-ao---- 2.00g 
在 逻辑 卷 中 创建 一 个 100M 的 文件 : 
[rootelinuxprobe ~|# dd if=/dev/zero of-/rhcsa/files count=1 bs=100M 
1+0 records in 
1+0 records out 
104857600 bytes (105 MB) copied, 1.31474 s, 79.8 MB/s 
再 来 看 下 逻辑 卷 快 照 的 使 用 量 : 
[root@linuxprobe ~|# lvs 
LV VG Attr LSize Pool Origin Data% Move Log Cpy%Sync Convert 
SNAP rhcsa swi-a-s--- 124.00m vo 89.76 
vo rhcsa owi-aos-—- 120.00m 
root rhel -wi-ao---- 17.51g 
swap rhel -wi-ao---- 2.00g 
TEE 6 PEST: 
[rootelinuxprobe ~|# umount /rhcsa 
恢复 SNAP 3E OS OR WR: 
[root&linuxprobe ~|# lIvconvert --merge /dev/rhcsa/SNAP 
Merging of volume SNAP started. 
vo: Merged: 18.296 
vo: Merged: 100.096 
Merge of snapshot into logical volume vo has finished. 
Logical volume "SNAP" successfully removed 
快照 恢复 一 次 后 会 被 自动 删除 : 
[rootelinuxprobe ~|# lvs 
LV VG Attr LSize Pool Origin Data% Move Log Cpy9?6Sync Convert 
vo rhcsa -wi-a----- 120.00m 
root rhel -wi-ao---- 17.51g 


swap rhel -wi-ao---- 2.00 
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重新 挂 载 文件 系统 : 
[root@linuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 
原始 的 文件 还 在 ， 但 刚刚 创建 的 100M 大 文件 被 清除 了 : 
[root@linuxprobe ~|# ls /rhcsa 


lost+found readme.txt 


6.9 磁盘 容量 配额 


如 前 面 介绍 章 市 讲 到 的 类 Unix 系统 最 初 设计 理念 就 让 许多 人 一 起 使 用 ， 多 任务 的 操作 系统 ， 但 是 硬件 的 资源 是 固定 有 限 
的 ， 如 果 出 现 个 小 破坏 份子 不 断 的 创建 文件 或 下 载 电影 ， 那 么 硬盘 空间 总 有 一 天 会 被 占 满 的 吧 ， 这 时 就 需要 quota 服务 帮 
助 我 们 为 每 个 用 户 限 制 可 以 使 用 的 硬盘 空间 ， 一 旦 超出 预算 就 不 再 允许 他 们 使 用 。 

quota 的 磁盘 配额 可 以 限制 用 户 的 硬盘 可 用 空间 或 最 大 创建 文件 数量 ， 并 且 还 有 软 / 硬 限制 的 区 别 : 

软 限制 : 当 达 到 软 限制 时 会 提示 用 户 ， 但 允许 用 户 在 规定 期 限 内 继续 使 用 。 

硬 限制 : 当 达 到 硬 限制 时 会 提示 用 户 ， 且 强制 终止 用 户 的 操作 。 

查看 内 核 是 否 支 持 quota 功能 : 

[rootelinuxprobe ~]# dmesg | grep quota 

| 3.140241] VFS: Disk quotas dquot. 6.5.2 

查看 quota TEJ/T 8. dr 0,28 SU : 

[rootelinuxprobe ~|# rpm -q quota 

quota-4.01-1 1.el7.x86. 64 

查看 boot 目录 是 否 支持 quota 功能 (noquota 表示 暂时 不 支持 ) : 

[rootelinuxprobe ~]# mount | grep boot 

/dev/sdal on /boot type xfs (rw,relatime,seclabel,attr2,inode64,noquota) 

让 /boot 目录 支持 quota 功能 : 

[rootelinuxprobe ~|# vim /etc/fstab 

UUIDz26e97ef81-51f1-4781-8f1c-Oacb9f631b32 /boot xfs defaults,uquota O O 

重启 主机 后 即 可 生效 : 

[rootelinuxprobe ~|# reboot 

查看 boot 目录 是 否 支持 quota 功能 (usrquota 表示 已 经 支持 ) : 

[rootelinuxprobe Desktop]l# mount | grep boot 

/dev/sdal on /boot type xfs (rw,relatime,seclabel,attr2,inode64,usrquota) 

创建 两 个 用 于 quota 实验 的 用 户 tom: 

[rootelinuxprobe ~|# useradd tom 

需要 允许 其 他 用 户 对 /boot 目录 写 入 文件 操作 : 

[root@linuxprobe ~|# chmod -Rf o+w /boot 

xfs quota 命令 用 于 管理 XFS 文件 系统 的 quota 硬盘 配额 ， 格 式 为 : "quota [参数 ] 配额 文件 系统 ”。 


参数 作用 
-C 命令 以 交换 式 或 参数 的 形式 设置 要 执行 的 命令 。 
-p 设置 提示 或 报错 信息 的 程序 名 称 ， 默 认为 xfs quota. 


-X 专家 模式 ， 能 够 对 quota 做 更 多 复杂 的 配置 。 
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使 用 xfs_quota 命令 设置 对 tom 用户 在 /boot 目录 的 磁盘 配额 ， 具 体 要 求 如 下 : 
使 用 quota 专家 模式 限制 磁盘 软 限 制 为 3m、 磁 盘 硬 限制 为 6m、 文 件 软 限 制 为 3 个 且 文件 硬 限 制 为 6 个 。 
[root@linuxprobe ~|# xfs quota -x -c limit bsoft=3m bhard=6m isoft=3 ihard=6 tom’ /boot 


获取 当前 /boot 目录 上 的 quota 配额 限制 : 
[rootelinuxprobe ~|# xfs quota -x -c report /boot 

User quota on /boot (/dev/sdal) Blocks 

User ID Used Soft Hard Warn/Grace 

root 95084 0 0 00 [-------- | 

tom O 3072 6144 00 [-—-— | 

切换 至 tom 用 户 : 

[root@linuxprobe ~|# su - tom 

正常 创建 了 一 个 为 5M 的 文件 : 

[tomelinuxprobe ~|$ dd if=/dev/zero of=/boot/tom bs-5M count-1 
1+0 records in 

1+0 records out 

5242880 bytes (5.2 MB) copied, 0.123966 s, 42.3 MB/s 
创建 8M 文件 时 强制 终止 并 报错 了 : 

[tomelinuxprobe ~|$ dd if=/dev/zero ofz/boot/tom bs=8M count-1 
dd: error writing  '/boot/tom' : Disk quota exceeded 
1+0 records in 

0+0 records out 

6291456 bytes (6.3 MB) copied, 0.0201593 s, 312 MB/s 
查看 当前 用 户 的 quota 限制 (显示 硬盘 配额 已 占 满 ): 
[tom@linuxprobe -]$ quota 

Disk quotas for user tom (uid 1001): 

Filesystem blocks quota limit grace files quota limit grace 
/dev/sdal 6144* 3072 6144 6days 1 3 6 


edquota 命令 用 于 超级 用 户 编辑 其 他 用 户 的 quota 配额 限制 ， 格 式 为 : 


参数 作用 

-U 编辑 用 户 的 配额 限制 。 

-g 编辑 用 户 组 的 配额 限制 。 

T 通过 RPC 协议 编辑 远程 的 配额 。 


编辑 tom 的 配额 限制 ， 将 硬盘 的 硬 限制 修改 为 8m(8192k): 
[root@linuxprobe ~|# edquota -u tom 

Disk quotas for user tom (uid 1001): 

Filesystem blocks soft hard inodes soft hard 

/dev/sdal 6144 30728192136 

切换 至 tom fl P : 

[rootelinuxprobe ~|# su - tom 

Last login: Mon Sep 7 16:43:12 CST 2015 on pts/O 


"edquota [2X] Ul P]" . 
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再 来 创建 8m 的 文件 就 不 会 有 问题 了 : 

[tomelinuxprobe ~|$ dd if=/dev/zero ofz/boot/tom bs-8M count-1 
1+0 records in 

1+0 records out 

8388608 bytes (8.4 MB) copied, 0.0268044 s, 313 MB/s 


6.10 虚拟 文件 系统 


随 独 计算 机 系统 的 发 展 产生 出 了 众多 的 文件 系统 ， 为 了 使 用 尸 在 读 取 或 写 入 文件 时 不 用 关心 底层 的 硬 人 盘 结 构 ， 于 是 

















在 Linux 内 核 中 的 软件 层 为 用 户 程序 提供 了 一 个 文件 一 一 L3 |l 

系统 接口 (VFS,Virtual File System), 这 样 就 转 而 统一 对 \ 

这 个 虚拟 文件 系统 进行 操作 啦 。 即 实际 文件 系统 在 

VFS 下 隐藏 了 自己 的 特性 和 细节 ， 使 得 我 们 在 日 常 使 

用 时 觉得 “文件 系统 都 是 一 样 的 ”。 | T AL 、 B 
Co ang 


6.11 软 硬 方式 链接 


在 Linux 系统 中 的 In 命令 能 够 让 用 户 创建 出 两 种 不 同类 型 的 文件 快捷 方式 ， 一 定 要 注意 区 分 : 

硬 链 接 (hard link) 可 以 被 理解 为 一 个 “指向 原始 文件 inode 的 指针 ”， 系 统 不 为 它 分 配 独立 的 inode 与 文件 ， 所 以 
实际 上 来 讲 硬 链接 文件 与 原始 文件 其 实 是 同一 个 文件 ， 只 是 名 字 不 同 。 于 是 每 添加 一 个 硬 链接 ， 该 文件 的 inode 连 
接 数 就 会 增加 1， 直 到 该 文件 的 inode 连接 数 归 0 才 是 彻底 删除 。 概 括 来 说 因为 硬 链接 实际 就 是 指向 原文 件 inode 的 
指针 ， 即 便 原 始 文件 被 删除 依然 可 以 通过 链接 文件 访问 ， 但 是 不 能 跨 文 件 系 统 也 不 能 链接 目录 文件 。 

软 链接 也 称 为 符号 链接 (symbolic link) 即 “ 仅 仅 包含 它 索 要 链接 文件 的 路 径 名 ”因此 能 做 目录 链接 也 可 以 跨越 文 
件 系统 ， 但 原始 文件 被 删除 后 链接 文件 也 将 失效 ， 如 同 Winodwm 中 的 “快捷 方式 ”。 

In 命令 用 于 创建 链接 文件 ， 格 式 为 : “ln [选项 ] 目标 ”。 

创建 硬 链接 :“ln 文件 名 链接 名 

创建 软 链接 :“ln -s 文件 名 连接 名 ” 


参数 作用 

-S 创建 "符号 链接 "(默认 是 硬 链接 ) 
zi 强制 创建 文件 或 目录 的 链接 

-i 覆盖 六 先 询问 

-V 显示 创建 链接 的 过 程 


对 /etc 目录 做 出 一 个 名 为 etc 的 软 连 接 。 


[root&linuxprobe ~|# In -s /etc etc 
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本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 7 章 Iptables 与 Firewalld 防火 墙 。 


章节 简 述 : 

2r E RHEL7 系统 已 经 用 firewalld RAAR T iptables RA, 新 的 防火 墙 管 理 命 令 firewall-cmd 与 图 形 化 工具 firewall-config。 
本 章节 基于 数 十 个 防火 墙 需求 ， 使 用 规则 策略 完整 演示 对 数据 包 的 过滤、SNAT/SDAT 技术 、 端 口 转发 以 及 负载 均衡 等 实验 。 
不 光 光 学 习 iptables 命令 与 firewalld 服务 , 还 新 增 了 Tcp_wrappers 防火 墙 服务 小 节 , 简单 配置 即 可 保证 系统 与 服务 的 安全 。 


7.1 了 解 防火 墙 管理 工具 


防火 墙 虽 有 软件 或 硬件 之 分 但 主要 功能 还 是 依据 策略 对 外 部 请 求 进 行 这 滤 ， 成 为 公 网 与 内 网 之 间 的 保护 屏障 ， 防 火 
墙 会 监控 每 一 个 数据 包 并 判断 是 否 有 相应 的 匹配 策略 规则 ， 直 到 满足 其 中 一 条 策略 规则 为 止 ， 而 防火 墙 规 则 策略 可 
以 是 基于 来 源 地 址 、 请 求 动 作 或 协议 来 定制 的 ， 最 终 仅 让 合法 的 用 户 请 求 流入 到 内 网 中 ， 其 余 的 均 被 丢弃 。 


在 红 帽 RHEL7 系统 中 firewalld 服务 取代 了 iptables 服务 ， 但 依然 可 以 使 用 iptables 命令 来 管理 内 核 的 netfilter。 
这 对 于 接触 Linux 系统 比较 早 或 学 习 过 红 帼 RHEL6 系统 的 读者 来 讲 ， 突 然 接触 firewalld 服务 会 比较 抵触 ， 可 能 会 
觉得 新 增 Firewalld 服务 是 一 次 不 小 的 改变 , 其 实 这 样 讲 也 是 有 道理 的 。 但 其 实 Iptables 服务 与 Firewalld 服务 都 不 
是 真正 的 防火 墙 ， 它 们 都 只 是 用 来 定义 防火 墙 规则 功能 的 “防火 墙 管理 工具 ”， 将 定义 好 的 规则 交 由 内 核 中 的 
netfilter 即 网 络 过 滤器 来 读 取 ， 从 而 真正 实现 防火 墙 功 能 ， 所 以 其 实在 配置 规则 的 思路 上 是 完全 一 致 的 ， 而 我 会 在 
本 章 中 将 iptables 命令 与 firewalld 服务 的 使 用 方法 都 教授 给 你 们 ， 坦 白 讲 日 常 工作 无 论 用 那 种 都 是 可 行 的 。 





7.2 Iptables 命令 


iptables 命令 用 于 创建 数据 过 滤 与 NAT 规则 ， 主 流 的 Linux 系统 都 会 默认 启用 iptables 命令 ， 但 其 参数 较 多 且 规 风 
策略 相对 比较 复杂 。 


7.2.1 规则 链 与 策略 


在 iptables 命令 中 设置 数据 过 滤 或 处 理 数据 包 的 策略 叫做 规则 ， 将 多 个 规则 合成 一 个 链 。 
举例 来 说 :小 区 门卫 有 两 条 的 规则 ， 将 这 两 个 规则 可 以 合成 一 个 规则 链 : 
遇 到 外 来 车 辆 需要 登记 。 
严禁 快递 小 哥 进 入 社区 。 
但 是 光 有 策略 还 不 能 保证 社区 的 安全 ， 我 们 需要 告诉 门卫 (iptables) 这 个 策略 (规则 链 ) 是 作用 于 哪里 的 ， 并 赋予 安保 人 员 可 
能 的 操作 有 这 些 ， 如 : “允许 ”，“ 和 登记”，“ 拒 绝 ”，“ 不 理 他 ”， 对 应 到 iptables 命令 中 则 常见 的 控制 类 型 有 : 
ACCEPT: 人 允许 通 过 . 
LOG: 记 录 日 志 信息 ,然后 传 给 下 一 条 规则 继续 匹配 
REJECT: 拒 绝 通 过 ,必要 时 会 给 出 提示 . 
DROP: 直 接 丢 弃 , 不 给 出 任何 回应 . 
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其 中 REJECT 和 DROP 的 操作 都 是 将 数据 包 拒绝 ， 但 REJECT 会 再 回复 一 条 “您 的 信息 我 已 收 到 ， 但 被 扔 掉 了 ”。 
通过 ping 命令 测试 REJECT 情况 会 是 这 样 的 : 

[root@localhost ~|# ping -c 2 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

From 192.168.10.10 icmp seq-1 Destination Port Unreachable 

From 192.168.10.10 icmp seq-2 Destination Port Unreachable 

--- 192.168.10.10 ping statistics --- 


2 packets transmitted, O received, +2 errors, 10096 packet loss, time 3002ms 


但 如 果 是 DROP 则 不 予 响应 : 
[root@localhost ~|# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 


--- 192.168.10.10 ping statistics --- 
4 packets transmitted, O received, 100% packet loss, time 3000ms 
而 规则 链 则 依据 处 理 数 据 包 的 位 置 不 同 而 进行 分 类 : 
PREROUTING: 在 进行 路 由 选择 前 处 理 数据 包 
INPUT: 处 理 入 站 的 数据 包 
OUTPUT: 处 理 出 站 的 数据 包 
FORWARD: 处 理 转 发 的 数据 包 
POSTROUTING: 在 进行 路 由 选择 后 处 理 数据 包 
Iptables 中 的 规则 表 是 用 于 容纳 规则 链 ， 规 则 表 默认 是 允许 状态 的 ， 那 么 规则 链 就 是 设置 被 禁止 的 规则 ， 而 反之 如 果 
规则 表 是 禁止 状态 的 ， 那 么 规则 链 就 是 设置 被 允许 的 规则 。 
raw 表 : 确 定 是 否 对 该 数据 包 进 行 状态 跟踪 
mangle 表 : 为 数据 包 设 置 标记 
nat 表 : 修 改 数 据 包 中 的 源 、 目 标 IP 地 址 或 端口 
filter 表 : 确 定 是 否 放行 该 数据 包 GIR) 














í 
1 
| [ue [eue EAD 
| 
! : 
' 

i -= | esu] 

1 

1 

1 


FORWARD $f 





规则 表 的 先后 顺序 :raw->mangle->nat->filter 


规则 链 的 先后 顺序 : 
入 站 顺序 :PREROUTING 一 INPUT 
出 站 顺序 :OUTPUT 一 POSTROUTING 
转发 顺序 :PREROUTING 一 FORWARD 一 POSTROUTING 


还 有 三 点 注意 事项 : 


第 128 页 


(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


1. 没 有 指定 规则 表 则 默认 指 filter 表 。 
2. 不 指定 规则 链 则 指 表 内 所 有 的 规则 链 。 
3. 在 规则 链 中 匹配 规则 时 会 依次 检查 ， 匹 配 即 停止 (LOG 规则 例外 )， 老 没 匹配 项 则 按 链 的 默认 状态 处 理 。 


7.2.2 基本 的 命令 参数 


iptables 命令 用 于 管理 防火 墙 的 规则 策略 ， 格 式 为 : “iptables [-t 表 名 ] 选项 [ 链 名 ] [条 件 ] [-j 控制 类 型 ]”。 
表格 为 读者 总 结 了 几乎 所 有 常用 的 iptables 参数 ， 如 果 记 不 住 也 没关系 ， 用 时 来 查 就 行 ,看 完 后 来 学 习 下 如 何 组 合并 使 用 吧 : 


参数 作用 


-P 设置 默认 策略 :iptables -P INPUT (DROP|ACCEPT) 
-F 清空 规则 链 
-L 查看 规则 链 
A 在 规则 链 的 末尾 加 入 新 规则 
-I num 在 规则 链 的 头 部 加 入 新 规则 
-D num 删除 某 一 条 规 风 
-S 匹配 来 源 地 址 IP/MASK， 加 叹 号 "1" 表示 除 这 个 IP 外 。 
-d 匹配 目标 地 址 
-i 网 卡 名 称 匹配 从 这 块 网 卡 流入 的 数据 
-0 网 卡 名 称 匹配 从 这 块 网 卡 流出 的 数据 
-p 匹配 协议 ,如 tcp,udp,icmp 
-dport num 匹配 目标 端口 号 
-sport num 匹配 来 源 端 口号 
查看 已 有 的 规则 : 
[rootelinuxprobe ~|# iptables -L 
清空 已 有 的 规则 : 


[rootelinuxprobe ~|# iptables -F 


DASS 
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将 INPUT 链 的 默认 策略 设置 为 拒绝 : 


当 INPUT 链 默 认 规 则 设置 为 拒绝 时 ， 我 们 需要 写 入 允许 的 规则 策略 。 
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这 个 动作 的 目地 是 当 接 收 到 数据 包 时 ， 按 顺序 匹配 所 有 的 允许 规则 策略 ， 当 全 部 规则 都 不 匹配 时 ， 左 绝 这 个 数据 包 。 


[root@linuxprobe ~|# iptables -P INPUT DROP 
允许 所 有 的 ping 操作 : 
[root@linuxprobe ~|# iptables -I INPUT -p icmp -j ACCEPT 


在 INPUT 链 的 末尾 加 入 一 条 规则 ， 人 允许 所 有 未 被 其 他 规则 匹配 上 的 数据 包 : 
因为 默认 规则 表 就 是 fiter， 所 以 其 中 的 ”七 filter “一般 省 略 不 写 ， 效 果 是 一 样 的 。 


[root@linuxprobe ~|# iptables -t filter -A INPUT -j ACCEPT 
删除 上 面 的 那 条 规则 : 
[rootelinuxprobe ~|# iptables -D INPUT 2 


既然 读者 已 经 掌握 了 iptables 命令 的 基本 参数 ， 那 么 来 尝试 解决 模拟 训练 吧 : 

模拟 训练 A: 仅 允许 来 自 于 192.168.10.0/24 域 的 用 户 连 接 本 机 的 ssh 服务 。 

Iptables 防火 墙 会 按照 顺序 匹配 规则 ， 请 一 定 要 保证 “允许 ”规则 是 在 “ 碟 绝 ”规则 的 上 面 。 
[root&linuxprobe ~|# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT 
[root@linuxprobe ~|# iptables -A INPUT -p tcp --dport 22 -j REJECT 


模拟 训练 B: 不 允许 任何 用 户 访 问 本 机 的 12345 端口 。 


[root@linuxprobe ~|# iptables -I INPUT -p tcp --dport 12345 -j REJECT 

[root@linuxprobe ~|# iptables -I INPUT -p udp --dport 12345 -j REJECT 

模拟 实验 C( 答 案 模式 ): 拒 绝 其 他 用 户 从 ”eno16777736“ 网 卡 访问 本 机 http 服务 的 数据 包 。 
答案 : [rootlinuxprobe ~]# iptables -I INPUT -i eno16777736 -p tcp -dport 80 -j REJECT 


模拟 训练 D:25 1E 8 P vr 8] www.myl33t.org. 


[root linuxprobe ~|# iptables -I FORWARD -d www.my133t.org -j DROP 


模拟 训练 EE 禁止 IP 地 址 是 192.168.10.10 的 用 户 上 网 


[root@linuxprobe ~|# iptables -I FORWARD -s 192.168.10.10 -j DROP 
iptables 命令 执行 后 的 规则 策略 仅 当 前 生效 ， 若 想 重 局 后 依然 保存 规则 需 执 行 ”service iptables save “, 


7.2.3 SNAT 与 DNAT 


SNAT 即 源 地 址 转换 技术 ， 能 够 让 多 个 内 网 用 户 通过 一 个 外 网 地 址 上 网 ， 解 决 了 全 资源 莘 乏 的 问题 ， 确 实 很 实用 。 
例如 读者 们 来 访问 《Linux 就 该 这 么 学 》 的 网 页 , 则 就 是 通过 家 中 的 网 关 设 备 (您 的 无 线路 由 器 ) 进行 的 SNAT 转换 。 











网 关 服 务 器 
网 卡 1: 111. 196. 211. 212 
网 卡 2: 192. 168. 10. 1 


局 域 网 IP 范 围 
192. 168. 10. 0/24 


(多 用 尸 局域网 共享 上 网 的 拓扑 ) 
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网 关 服 务 器 
局 域 网 PC 机 外 网 : 111. 196. 211. 212 互联 网 中 的 网 站 服务 器 
192. 168. 10. 10 61. 240. 149. 149 


内 网 : 192. 168. 10. 1 


源 地 址 : 192. 168. 10. 10 


源 地 址 : 192. 168. 10. 10 





目标 地 址 : 61. 240. 149. 149 


-一 
HTTP 请 求 AE 


HTTP 应 答 


目标 地 址 : 61. 240. 149. 149 
-一 


HTTP 请 求 





Da 


EZTE 


DA 源 地 址 : 61. 240. 149. 149 


目标 地 址 : 192. 168. 10. 10 


(HREH SNATRR, — Pr VA E PO 3 CA S MES SX RA 192.168.10.10 这 合 主机 ， 无 法 正常 浏览 网 页 ) 


Iž : 
局 域 网 PC 机 Pose NM 互联 网 中 的 网 站 服务 器 


192. 168. 10. 10 61. 240. 149. 149 
内 网 : 192. 168. 10. 1 


源 地 址 : 192. 168. 10. 10 源 地 址 : 111. 196. 211. 212 





目标 地 址 : 61. 240. 149. 149 目标 地 址 : 61. 240. 149. 149 


= | 由 | 一 <_， 
FA | HTTPiÉcK 十 HTTP 请求 ^n 
一 万 HTTP 应 答 CA 


HTTP 应 答 


源 地 址 : 61. 240. 149. 149 源 地 址 :61. 240. 149. 149 





目标 地 址 :192. 168. 10. 10 目标 地 址 ，111. 196. 211. 212 


( 因 使 用 了 SNAT 地 址 转换 技术 ， 服 务 只 应 签 后 先 由 网 关 服 务 器 接收 ， 再 分 发 给 内 网 的 用 户主 机 。) 
现在 需要 将 ”192.168.10.0“ 网 段 的 内 网 IP 用 户 经 过 地 址 转换 技术 变 成 外 网 IP 地 址 ”111.196.211.212“， 这 样 一 来 
内 网 耳 用 户 就 都 可 以 通过 这 个 外 网 也 EAT, H iptables 防火 墙 即 可 实现 SNAT 源 地 址 转换 ， 根 据 需 求 命令 如 下 : 


\ v 
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eno16777736 -j SNAT --to-source 111.196.211.212 


不 知 读者 有 无 这 种 经 历 ， 当 使 用 联通 或 者 电信 上 网 的 时 候 , 每 次 拨号 都 会 重新 分 配 新 的 了 P 地 址 ,那么 老 网 关 IP 经 党 变动 怎么 办 ? 
这 种 外 网 IP 地 址 不 稳定 的 情况 即 可 使 用 MASQUERADE( 动 态 伪装 ): 能 够 自动 的 寻找 外 网 地 址 并 改 为 当前 正确 的 外 网 卫 地 址 
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE 

DNAT 即 目 地 地 址 转换 技术 ， 则 能 够 让 外 网 IP 用 户 访问 局 域 网 内 不 同 的 服务 器 。 





Po] 3€ BR SS: S (unir. linuxprobe. com) 互联 网 


网 卡 1: 61.240.149.149 — — 
网 卡 2: 192. 168. 10. 1 => 
v j 
互联 网 中 的 客户 机 
局 域 网 段 
192. 168. 10. 0/24 





111. 196. 211.212 


网 站 服务 器 
e" v" v" 192. 168. 10. 6 
(互联 网 中 的 客户 机 访问 网 站 时 的 拓扑 ) 
网 关 服 务 器 
企业 网 内 的 Web 服 务 器 eth0: 61.240.149. 149 Internet 中 的 客户 机 
192. 168. 10.6 111.196. 211. 212 


ethl: 192. 168. 10. 1 





源 地 址 : 111. 196. 211. 212 





源 地 址 : 111.196. 211. 212 
目标 地 址 : 192.168.10.6 


X 
QU HTTP 请 求 


源 地 址 : 192.168. 10.6 源 地 址 : 61.240.149. 149 
目标 地 址 : 111. 196. 211.212 目标 地 址 : 111. 196. 211.212 


目标 地 址 :61. 240. 149. 149 






HTTP 请 求 


(DNAT 的 数据 包 转 换 过 程 ) 
现在 希望 互联 网 中 的 客户 机 访问 到 内 网 ”192.168.10.6“ 这 人 台 提 供 网 站 服务 的 主机 ， 那 么 只 需 在 网 关系 统 上 运行 这 条 命令 : 
ama O a Ra 


iptables -t nat -A PREROUTING -i eno16777736 -d 61. 240. 149. 149 -p tcp -dport 80 -j DNAT --to-desti 
du 


发 布 的 服务 端口 










nation 192.168.10.6 


Neb 主机 的 内 网 IP 地 址 
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7.2.4 端口 转发 与 流量 均衡 


端口 转发 功能 可 以 将 原本 到 茶 端 口 的 数据 包 转 发 到 其 他 端口: 

firewall-cmd --permanent --zone=< 区 域 > --add-forward-port=port=< 源 端口 号 >:proto=< 协 议 >:toport=< 目 标 端口 号 >:toaddr=< 目 标 卫 地 址 > 
将 访问 192.168.10.10 主机 888 端口 的 请 求 转 发 至 22 端口 : 

[root@linuxprobe ~|# firewall-cmd --permanent --zone=public --add-forward- 
port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 

SUCCESS 

使 用 客户 机 的 ssh 命令 访问 192.168.10.10 主机 的 888 端口 : 

[root@linuxprobe ~|# ssh -p 888 192.168.10.10 

The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]|:888)' cant be established. 

ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts. 

root 192.168.10.10's password: 

Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10 


另外 流量 均衡 技术 也 是 常用 的 技术 ， 比 如 将 一 仓 主 机 作为 网 站 的 前 端 服务 器 ， 将 访问 流量 分 流 至 内 网 中 3 台 不 同 的 主机 上 。 
iptables -A PREROUTING -i ethO -p tcp --dport 80 -m state --state NEW -m nth --counter O --every 3 --packet O - 

j DNAT --to-destination 192.168.10.10:80 

iptables -A PREROUTING -i ethO -p tcp -dport 80 -m state --state NEW -m nth counter O --every 3 --packet O - 

j DNAT --to-destination 192.168.10.11:80 

iptables -A PREROUTING -i ethO -p tcp --dport 80 -m state --state NEW -m nth counter O --every 3 --packet O - 

j DNAT --to-destination 192.168.10.12:80 


7.3 Firewalld 防火 墙 


Firewalld 服务 是 红 帽 RHEL7 系统 中 默认 的 防火 墙 管理 工具 ， 特 点 是 拥有 和 运行 时 配置 与 永久 配置 选项 上 是 能 够 支持 动态 更 新 以 
及 “zone” 的 区 域 功 能 概念 ， 使 用 图 形 化 工具 firewall-config 或 文本 管理 工具 firewall-cmd， 下 面 实验 中 会 讲 到 ~ 


7.3.1 区 域 概 念 与 作用 


防火 墙 的 网 络 区 域 定义 了 网 络 连 接 的 可 信 等 级 ， 我 们 可 以 根据 不 同 场景 来 调用 不 同 的 firewalld 区 域 ， 区 域 规则 有 : 
区 域 默认 规则 策略 
trusted ” 人 多 许 所 有 的 数据 包 。 


home 拒绝 流入 的 数据 包 , 除非 与 输出 流量 数据 包 相 关 或 是 ssh,mdns,ipp-client,samba-client 与 dhcpv6-client 服务 则 允许 。 


internal ”等 同 于 home 区 域 

work 拒绝 流入 的 数据 包 ， 
public 拒绝 流入 的 数据 包 ， 
external “拒绝 流入 的 数据 包 ， 
dmz 拒绝 流入 的 数据 包 ， 
block 拒绝 流入 的 数据 包 ， 


drop 拒绝 流入 的 数据 包 ， 
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除非 与 输出 流量 数据 包 相关 或 是 sshipp_client 与 dhcpv6-client 服务 则 允许 。 
除非 与 输出 流量 数据 包 相关 或 是 sshudhcpv6-client 服务 则 允许 。 

除非 与 输出 流量 数据 包 相关 或 是 ssh 服务 则 允许 。 

除非 与 输出 流量 数据 包 相关 或 是 ssh 服务 则 允许 。 

除非 与 输出 流量 数据 包 相关 。 


除非 与 输出 流量 数据 包 相 关 。 


简单 来 讲 就 是 为 用 户 预 先 准备 了 几 套 规则 集合 , 我 们 可 以 根据 场景 的 不 同 选择 合适 的 规矩 集 仓 , 而 默认 区 域 是 public. 


7.3.2 字符 管理 工具 


如 有 果 想 要 更 高 效 的 配置 受 当 防 火 墙 ， 那 么 就 一 定 要 学 习 字 符 管 理工 具 firewall-cmd 命令 ,命令 


参数 

--get-default-zone 
--set-default-zone=< 区 域名 称 > 
--get-zones 

-get Services 
-get-active-zones 
-add-source- 
-remove-source- 
-add-interface2« W -& 4 fr» 
-change-interface-« IW -F 4& 4» 
--]ist-all 

--]ist-all-zones 
--add-service=< 服 务 名 > 


-add-port=< 端 口号 /协议 > 


SE 


SUR : 
作用 


查询 默认 的 区 域名 称 。 


设置 默认 的 区 域 ， 永 久生 效 。 


显示 可 用 的 区 域 。 


显示 预先 定义 的 服务 。 


显示 当前 正在 使 用 的 区 域 与 网 卡 名 称 。 


将 来 源 于 此 IP 或 子 网 的 流量 导向 指定 的 区 域 。 


不 再 将 此 IP 或 子 网 的 流量 导向 某 个 指定 区 域 。 


将 来 自 于 该 网 卡 的 所 有 流量 都 导向 某 个 指定 区 域 。 


将 某 个 网 卡 与 区 域 做 关联 。 


显示 当前 区 域 的 网 卡 配置 参数 ， 资 源 ， 端 口 以 及 服务 等 信息 。 


显示 所 有 区 域 的 网 卡 配置 参数 ， 资 源 ， 端 口 以 及 服务 等 信息 。 


设置 默认 区 域 允 许 该 服务 的 流量 。 


允许 默认 区 域 允 许 该 端口 的 流量 。 
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--remove-service=< 服 务 名 > 设置 默认 区 域 不 再 允许 该 服务 的 流量 。 
-remove-port=< 端 口号 /协议 > 允许 默认 区 域 不 再 允许 该 端口 的 流量 。 
--reload 让 “永久 生效 ”的 配置 规则 立即 生效 ， 履 盖 当 前 的 。 


特别 需要 注意 的 是 firewalld 服务 有 两 份 规则 策略 配置 记录 ， 作 需要 能 够 区 分 : 
RunTime: 当 前 正在 生效 的 。 
Permanent: 永 久生 效 的 。 
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当下 面 实 验 修 改 的 是 隶 久 生效 的 策略 记录 时 ， 必 须 执行 ” 二 reload “参数 后 才能 立即 生效 ， 否 则 要 重启 后 青 生效 。 


查看 当前 的 区 域 : 

[root@linuxprobe ~|# firewall-cmd --get-default-zone 

public 

查询 eno16777728 网 卡 的 区 域 : 

[root@linuxprobe ~|# firewall-cmd --get-zone-of-interface=eno16777728 
public 

在 public 中 分 别 查 询 ssh 5 http 服务 是 否 被 允许 : 

[root@linuxprobe ~|# firewall-cmd --zone=public --query-service-ssh 

yes 


[root@linuxprobe ~|# firewall-cmd --zone=public --query-service=http 


no 
设置 默认 规则 为 dmz: 


[root@linuxprobe ~|# firewall-cmd --set-default-zone=dmz 
让 “永久 生效 ”的 配置 文件 立即 生效 : 
[root@linuxprobe ~|# firewall-cmd --reload 


SUCCESS 


局 动 /关闭 应 急 状 况 模 式 ， 阻 断 所 有 网 络 连 接 : 

应 急 状 况 模式 司 动 后 会 禁止 所 有 的 网 络 连接 ， 一 切 服务 的 请 求 也 都 会 被 拒绝 ， 当 心 ， 请 慎 用 。 
[root@linuxprobe ~|# firewall-cmd --panic-on 

SUCCeSS 

[root@linuxprobe ~|# firewall-cmd --panic-off 


SUCCESS 


如 果 您 已 经 能 够 完全 理解 上 面 练习 中 firewall-cmd 命令 的 参数 作用 ， 不 妨 来 尝试 完成 下 面 的 模拟 训练 吧 : 


模拟 训练 A: AS YF https 服务 流量 通过 public 区 域 ， 要 求 立 即 生 效 且 永久 有 效 : 
方法 一 :分 别 设置 当前 生效 与 永久 有 效 的 规则 记录 : 

[root@linuxprobe ~|# firewall-cmd --zone=public --add-service=https 
[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --add-service=https 
方法 二 :设置 永久 生效 的 规则 记录 后 读 取 记录 : 

[rootelinuxprobe ~|# firewall-cmd --permanent --zone-public --add-service-https 
[rootelinuxprobe ~|# firewall-cmd reload 

模拟 训练 B: 不 再 允许 http 服务 流量 通过 public 区 域 ， 要 求 立 即 生 效 且 永久 生效 : 
[rootelinuxprobe ~|# firewall-cmd --permanent --zone-public --remove-service-http 


SUCCESS 


DASS 
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使 用 参数 “一 reload“ 计 永久 生效 的 配置 文件 立即 生效 : 
[rootelinuxprobe ~|# firewall-cmd --reload 
SUCCESS 
模拟 训练 C: 允 许 8080 与 8081 端口 流量 通过 public 区 域 ， 立 即 生效 且 永 久生 效 : 
[rootelinuxprobe ~|# firewall-cmd --permanent --zone-public --add-port-8080-8081 /tcp 
[rootelinuxprobe ~|# firewall-cmd reload 
模拟 训练 D: 查 看 模拟 实验 C 中 要 求 加 入 的 端口 操作 是 否 成 功 : 
[rootelinuxprobe ~|# firewall-cmd --zone=public --list-ports 
8080-8081 /tcp 
[rootelinuxprobe ~|# firewall-cmd permanent --zone-public --list-ports 
8080-8081 /tcp 
模拟 实验 EK eno16777728 网 卡 的 区 域 修改 为 external， 重 启 后 生效 : 
[root&linuxprobe ~|# firewall-cmd --permanent --zone-external --change-interface=eno16777728 
success 
[root@linuxprobe ~|# firewall-cmd --get-zone-of-interface=eno16777728 
public 
再 次 提示 :请 读者 们 再 仔细 琢磨 下 立即 生效 与 重启 后 依然 生效 的 差别 ， 千 万 不 要 修改 错 了 。 
模拟 实验 下 :设置 富 规则 ， 拒 绝 192.168.10.0/24 网 段 的 用 户 访问 ssh 服务 : 
firewalld 服务 的 富 规则 用 于 对 服务 、 端 口 、 协 议 进 行 更 详细 的 配置 ， 规 则 的 优先 级 最 高 。 


[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --add-rich-rule-'rule family= ipv4 


address-"192.168.10.0/24" service name= Ssh reject" success 


7.3.3 图 形 管 理工 具 
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source 


执行 firewall-config 命令 即 可 看 到 firewalld 的 防火 墙 图 形 化 管理 工具 ， 真 的 很 强大 ， 可 以 完成 很 多 复杂 的 工作 。 


firewalld 防火 墙 图 形 化 管理 工具 界面 详解 : 


Firewa ll Configuration 
Fil Optic Hel 
Configuration: Runtime © 
m 
! Zones | Services 
A (du dz G) defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses 
Zone 9 "7 © © © (D) 1L 
Services |Ports Masquerading Port Forwarding |CMP Filter Rich Rules Interfaces > 
block 
Here you can define which services are trusted in the zone. Trusted services are accessible from 
dmz 
al j orks t j rces [ 
drop to tl 
external 
home 
amanda-cl 
internal 
- bacula 
trusted 12 
dhcp 
work 
dhcp 
v dhcp 
ans 
ftp 
C j B Default Zone: public Lockdown: disabled Panic Mode: disabled 


中: 选择 ”立即 生效 “或 ”重启 后 依然 生效 “配置 。 
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CGO): 区 域 列 表 。 
(3): 服 务 列表 。 
:当前 选中 的 区 域 。 
(©): 被 选中 区 域 的 服务 。 
©: 被 选中 区 域 的 端口 。 
DRR F KRKA R. 
@@): 被 竹中 区 域 的 端口 转发 。 
@@: 被 选中 区 域 的 ICMP 包 。 
0: 被 选中 区 域 的 富 规则 。 
(《D: 被 选中 区 域 的 网 卡 设备 。 
@@): 被 选中 区 域 的 服务 ， 前 面 有 V 的 表示 允许 。 
(3):firewalld 防火 墙 的 状态 
请 注意 :firewall-config 图 形 化 管理 工具 中 没有 保存 /完成 按钮 ， 只 要 修改 就 会 生效 。 
允许 其 他 主机 访问 http 服务 ， 仅 当前 生效 : 






































Firewall Configuration BGE 
File Options View Help 
Configuration: 
| Zones | Services | 
A firewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone, The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 
Z ! . Y Y r 
Te M Ports Masquerading PortForwarding |CMP Filter Rich Rules Interfaces | > 
bloc pe | 
dm Here you can define which services are trusted in the zone. Trusted services are accessible from 
z | all hosts and networks that can reach the machine from connections, interfaces and sources bound 
| 
drop to this zone. 
external Service 
home 
^7 ftp 
internal Mila i na 
E high-avail ability 
COUNNEENM ck EN 
| (C ht 
trusted 
^? https 
work 
^7 imaps 
U ipp 
N dpp-clent 
^? ipsec 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 


允许 其 他 主机 访问 8080-8088 端口 且 重 启 后 依然 生效 : 



































Firewall Configuration Bak 
File | Options | View Help 
Con Mosa rimwe 
[za Change Zones of Connections... 》 
Change Default Zone 
A fir k connections, interfaces and source addresses bound to the zone. The 
zoni Panic Mode ng, port/packet forwarding, icmp filters and rich rules. The zone can be 
bour 
Lockdown 
Zi Y Y Y Y 
Port and Protocol — 《 Services) Ports | Masquerading | Port Forwarding | ICMP Filter _| Rich Rules Interfaces | > 
bloc 
Please enter a port and protocol. dm Add additional ports or port ranges, which need to be accessible for all hosts or networks that can 
" connect to the machine. 
Port / Port Range: 8080-8088 drop 
i Port Protocol 
: external 
Protocol: tcp w 8080-8088 tcp 
home 
Camel | internal 
publi« 
trusted 
work 
+ A -= È f Add Edit 
Connected. 














Default Zone: public Lockdown: disabled Panic Mode: disabled 


开启 伪装 功能 ， 重 启 后 依然 生效 : 
firewalld 防火 墙 的 伪装 功能 实际 就 是 SNAT 技术 ， 即 让 内 网 用 户 不 必 在 公 网 中 暴露 自己 的 真实 IP 地 址 。 
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i 
Firewall Configuration jaa 
File Options View Help 
Configuration: Permanent v 
Zones | Services ， 
A firewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 
Zone € bassins : y | | | > 
Services Ports; Masquerading Port Forwarding ICMP Filter Rich Rules Interfaces - 
block za mM —S MÀ Exc 
d Masquerading allows you to set up a host or router that connects your local network to the 
iiz internet. Your Local network will not be visible and the hosts appear as a single address on the 
drop internet. Masquerading is IPv4 only. 
sr " Masquerade zone 
noma If you enable masquerading, IP forwarding will be enabled for your IPv4 networks. 
internal 
trusted 
work 
+ 2- È 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 





将 向 本 机 888 端口 的 请 求 转发 至 本 机 的 22 mO H8 BJasfkfA 4X: 


Port Forwarding 


Please select the source and destination options 
according to your needs. 


Source 


Protocol: tcp v 


Port / Port Range: 888 [sre] 
Destination 


If you enable Local forwarding, you have to specify a 
port. This port has to be different to the source port. 


* Local forwarding [As HOBE AZ 


Forward to another port 


IP address 
Port / Port Range: 号 





过 滤 所 有 ”echo-reply” 的 ICMP 协议 报 文 数据 包 ， 仅 当前 生效 : 
ICMP 即 互 联网 控制 报 文 协议 ”Internet Control Message Protocol ", JH/&-T TCP/IP 协议 族 ， 主 要 用 于 检测 网 络 间 
是 否 可 通信 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 状态 ， 并 不 用 于 传输 用 户 数据 。 


[ Firewall Configuration he 





File Options View Help 


ree 


Zones |Services | 
Afirewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone, The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 












Zon j : 
. € | Services | Ports Masquerading | Port Forwarding! ICMP Filter | Rich Rules | Interfaces - > 
bloc - 
dm The Internet Control Message Protocol (ICMP) is mainly used to send error messages between 
z networked computers, but additionally for informational messages like ping requests and replies. 
di , : ; : 
"Y Mark the ICMP types in the list, which should be rejected. All other ICMP types are allowed to 
external pass the firewall. The default is no limitation. 
home icmp Type 
n ; 站 destination-unreachable 
T 
nene M echo-request 
work M parameter-problem 
M redirect 
f? router-advertisement 
f! router-solicitation 











Connected. Changes applied. Default Zone: public Lockdown: disabled Panic Mode: disabled 
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ftir 192.168.10.20 主机 访问 本 机 的 1234 端口 ， 仅 当前 生效 : 
富 规则 代表 着 更 细致 、 更 详细 的 规则 策略 ， 针 对 某 个 服务 、 主 机 地 址 、 端 


Firewall Configuration 


File Options View Hel Rich Rule 


Configuration: Please enter a rich rule 


For host or network white or blacklisting deactivate the element 
Zones Services 


A firewalld zone defines th Family: | ipv4 £ bund to tħe zone. The 


jne combines services, pd 


bound to interfaces and sof "Y port v 1234/tcp i5 





Zz 
Sati | accept v h Rules | Interfaces > 
block Y Action 
dmz With limit 
drop 一 S 
Source: | 192.168.10.20/24 Bl 7 inverted 
external 
home Destination: | 192.168.10.10/24 e inverted 
L gi ES 
interna 三 pi 
trusted | Log 
HE 
LE 
Audit 
Cancel OK 
Connected Default Zone: public Lockdown: disabled Panic Mode: disabled 


查看 网 卡 设备 信息 : 


Firewall Configuration 


File Options View Help 


Configuration: Runtime ~ 


| | 
Zones | Services 

A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 

zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 


bound to interfaces and source addresses 


Zone 
€ | Services] Ports Masquerading | Port Forwarding ICMP Filter | Rich Rules | Interfaces ， > 
block 
d Add entries to bind interfaces to the zone. If the interface will be used by a connection, the zone 
m 


will be set to the zone specified in the connection 


eno16777728 Used by network connection en 





Add Edit 


Connected. Changes applied Default Zone: public Lockdown: disabled Panic Mode: disabled 


口号 等 选项 的 规则 策略 ， 优 先 级 最 高 。 


firewal-config 图 形 管 理工 具 真 的 非常 实用 ， 很 多 原本 复杂 的 长 命令 被 用 图 形 化 按钮 替代 ， 设 置 规则 也 变 得 简单 了 ， 
日 常 工作 中 真 的 非常 实用 。 所 以 有 必要 跟 们 读者 讲 清 配置 防火 墙 的 原则 一 一 只 要 能 实现 需求 的 功能 ， 无 论 用 文本 管 


理工 具 还 是 图 形 管 理工 具 都 是 可 以 的 。 


7.4 服务 的 访问 控制 列表 


Tcp_wrappers( 即 Transmission Control Protocol(TCP)Wrappers) 是 一 款 基于 IP 层 的 ACL 访问 控制 列表 流量 监控 程 
序 ， 它 能 够 根据 来 访 主机 地 址 与 本 机 目标 服务 程序 做 允许 或 拒绝 规则 ， 控 制 列 表 修 改 后 会 立即 生效 ， 系 统 将 会 先 检查 


允许 规则 ， 如 果 匹 配 允 许 则 直接 放行 流量 ， 若 拒绝 规则 中 匹配 则 直接 拒绝 ， 


允许 名 单 :/etc/hosts.allow 
拒绝 名 单 :/etc/hosts.deny 
指定 客户 端的 规则 如 下 : 


X apes 示例 


单一 主机 192.168.10.10 


都 不 匹配 默认 也 会 放行 。 


满足 示例 的 客户 端 列 表 


IP 地 址 为 192.168.10.10 的 主机 。 
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指定 网 段 192.168.10. IP 段 为 192.168.10.0/24 的 主机 。 

指定 网 段 192.168.10.0/255.255.255.0 IP 段 为 192.168.10.0/24 的 主机 。 

指定 DNS EA Jinuxprobe.com 所 有 DNS J& 2 A linuxprobe.com 的 主机 
指定 主机 名 称 boss.linuxprobe.com 主机 名 称 为 boss.linuxprobe.com 的 主机 。 
指定 所 有 客户 端 ALL 所 有 主机 全 部 包括 在 内 。 


限制 只 有 192.168.10.0/24 网 段 的 主机 可 以 访问 本 机 的 httpd 服务 : 
编辑 允许 规则 : 

[root@linuxprobe ~|# vim /etc/hosts.allow 

httpd:192.168.10. 

拒绝 其 他 所 有 的 主机 : 

[root@linuxprobe ~|# vim /etc/hosts.deny 

httpd:* 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 8 章 使 用 ssh 服务 管理 远程 主机 。 


章节 简 述 : 

红 帽 RHEL7 系统 将 原先 熟悉 的 守护 进程 替换 为 了 systemd， 用 sytemctl 命令 蔡 换 掉 了 很 多 管理 命令 ， 变 化 的 确 很 大 。 

学 习 使 用 nmtui 命令 配置 网 卡 参数 、 手 工 将 多 块 网 卡 做 绑 定 、 使 用 nmcli 命令 查看 网 卡 信息 和 使 用 ss tr XE LAS FO D AA Se 
完整 演示 sshd 服务 配置 方法 并 详细 讲述 每 个 参数 的 作用 ， 实 战 基于 密 钥 远程 登陆 实验 以 及 用 screen 服务 让 远程 会 话 不 再 终 断 。 


1 进程 与 服务 


8.1.1 初始 化 进程 


Linux 操作 系统 开机 过 程 首先 从 BIOS 开始 一 进入 ”Boot Loader“ 一 加 载 内 核 一 内 核 的 初始 化 一 启动 初始 化 进程 ， 
初始 化 进程 作为 系统 第 一 个 进程 ， 它 需要 完成 相关 的 初始 化 工作 ， 为 用 户 提 供 合适 的 工作 环境 。 
红 帽 RHEL7 系统 已 经 替换 掉 了 ao System V init， 并 正式 采用 全 新 的 初始 化 进程 Systemd。 初 
始 化 进程 systemd 使 用 了 并 发 启动 机 制 ， 所 以 开机 速度 得 到 了 不 小 的 提升 。 虽 然 systemd 已 经 表现 出 了 优势 ， 但 一 
直 有 抵制 的 呼声 : 

吐槽 1: 因 作者 Lennart Poettering 就 职 于 红 帽 ， 让 其 他 系统 的 粉丝 很 不 歌 。 

吐槽 2:systemd 仅仅 可 在 linux 系统 下 运行 ， 放 弃 了 BSD 用户。 

吐槽 3: 接 管 了 诸如 syslogd, udev, cgroup 等 等 服务 的 工作 ， 不 再 甘心 只 做 初始 化 进程 。 

吐槽 4: 使 用 systemd 后 RHEL7 系统 变化 太 大 ， 参 考 文档 又 不 多 ， 为 难 我 们 啊 ! 
不 论 怎么 吐槽 ， 既 然 红 帽 RHEL7 系统 选择 了 systemd， 原 先 的 inittab 将 已 经 不 再 起 作用 ， 也 没有 了 “运行 CUR ”这 个 概念 : 
Linux 系统 启动 时 要 做 大 量 的 初始 化 工作 一 一 例如 挂 载 文 件 系 统 和 交换 分 区 ， 启动 各 类 进程 服务 等 等 操作 ,这 些 都 可 
以 看 作 是 一 个 个 的 单元 (Unit)， 分 析 下 nfs 服务 的 单元 配置 文件 吧 : 
[root@linuxprobe ~|# cat /etc/systemd/system/nfs.target.wants/nfs-lock.service 
[Unit] 
Description-NFS file locking service. 
// 表 示 rpcbind 服务 必须 在 nfs 服务 启动 前 已 经 运行 。 


Requires-rpcbind.service network.target 








After-network.target named.service rpcbind.service 


Before-remote-fs-pre.target 


[Service] 

Type-forking 

StandardError-syslog-4console 
EnvironmentFile--/etc/sysconfig/nfs 

// 局 动 nfs 服务 前 需要 执行 的 命令 
ExecStartPre-/usr/libexec/nfs-utils/scripts/nfs-lock.preconfig 
// B 38 nfs 服务 具体 的 命令 语法 : 

ExecStart-/sbin/rpc.statd $STATDARG 

# Make sure lockd's ports are reset 
ExecStopPost--/sbin/sysctl -w fs.nfs.nlm tcpport-O fs.nfs.nlm udpport-O 
[Install] 
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WantedBy-nfs.target 


如 前 面 所 述 在 红 帆 RHEL7 系统 中 systemd 用 ”目标 (targeb RET “BFAA” IMAR. 


Sysvinit 运行 级 别 Systemd 目标 名 称 作用 

0 runlevelO.target, poweroff.target 关机 

l runlevel1.target, rescue.target 单 用 户 模式 

2 runlevel2.target, multi-user.target 等 同 于 级 别 3 

9 runlevel3.target, multi-user.target 多 用 户 的 文本 界面 
4 runlevel4.target, multi-user.target 等 同 于 级 别 3 

5 runlevel5.target, graphical.target 多 用 户 的 图 形 界面 
6 runlevel6.target, reboot.target 重启 

emergency emergency .target 紧急 Shell 


将 默认 的 运行 级 别 修 改 为 “多 用 户 ， 无 图 形 模 式 ”; 

[root@linuxprobe ~|# In -sf /lib/systemd/system/multi-user.target /etc/systemd/system/default.target 
将 默认 的 运行 级 别 修 改 为 “图 形 化 模式 ”: 

[root@linuxprobe ~|# In -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target 


8.1.2 管理 服务 命令 


对 于 学 习 过 红 帽 RHEL6 系统 或 已 经 习惯 使 用 service、chkconfig 等 命令 来 管理 系统 服务 的 读者 可 能 要 郁闷 一 段 时 间 
了 ， 因 为 在 红 帽 RHEL7 系统 中 管理 服务 的 命令 是 ”systemctl“， 但 使 用 方法 大 致 相同 ， 我 们 来 做 下 对 比 吧 。 
systemct] 管理 服务 的 启动 、 重 启 、 停 止 、 重 载 、 查 看 状态 的 命令 : 


Sysvinit 命令 ( 红 帽 RHEL6 系统 ) Systemctl 命令 ( 红 帽 RHEL7 系统 ) 作用 

service foo start systemctl start foo.service 局 动 服务 
service foo restart systemctl restart foo.service 重启 服务 
service foo stop systemctl stop foo.service 停止 服务 


service foo reload systemctl reload foo.service 重新 加 载 配置 文件 〈 不 终止 服务 ) 


第 141 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


service foo status systemctl status foo.service 查看 服务 状态 


systemctl 设置 服务 的 开机 启动 、 不 启动 、 查 看 各 级 别 下 服务 启动 状态 的 命令 : 


Sysvinit 命令 ( 红 帽 RHEL6 系统 ) Systemctl 命令 ( 红 帽 RHELT 系统 ) 作用 

chkconfig foo on systemctl enable foo.service 开机 自动 局 动 

chkconfig foo off systemctl disable foo.service 开机 不 自动 局 动 

chkconfig foo systemctl is-enabled foo.service 查看 特定 服务 是 否 为 开机 自 启动 
chkconfig --list systemctl list-unit-files --type=service 查看 各 个 级 别 下 服务 的 启动 与 禁用 情况 


8.1.3 监视 资源 与 管理 进程 


Linux 系统 中 时 刻 运 行 着 许 许多 多 的 进程 ， 如 果 能 够 合理 的 管理 它们 ， 绝 对 有 益 于 系统 的 性 能 优化 ， 系 统 进 程 总 共有 
5 种 不 同 的 状态 : 
R 人 (运行 ): 正 在 运行 或 在 运行 队列 中 等 待 。 
S( 中 断 ): 休 了 眠 中 ,在 等 待 某 个 条 件 的 形成 或 接受 到 信号 。 
D( 不 可 中 断 ): 收 到 信号 不 唤醒 和 不 可 运行 ,进程 必须 等 待 直到 有 中 断 发 生 。 
Z:( 僵 死 ): 进 程 已 终止 ， 但 进程 描述 符 存在 ， 直 到 父 进 程 调用 wait40 系 统 调用 后 释放 。 
T:( 停 止 ): 进 程 收 到 SIGSTOP, SIGSTP SIGTIN, SIGTOU 信和 号 后 停止 运行 。 
ps 命令 用 于 查看 系统 中 的 进程 状态 ， 格 式 为 : “ps [参数 |”。 
查看 进程 与 状态 :“ps -aux” 
查找 某 个 特定 的 进程 信息 :”ps -aux | grep 进程 名 ” 


USER PID 6C PU %MEM VSZ RSS TTY STAT START TIME COMMAND 
进程 的 进程 运算 器 内 容 占 虚拟 内 存 使 占用 的 固定 所 在 进程 被 启动 的 实际 使 用 命令 名 
所 有 者 ID 号 占用 率 MZ 用 量 ( 单 位 内 存量 (单位 Hom 状态 时 间 CPU 的 时 参数 
是 KB) 是 KB) 间 
参数 作用 
idi 显示 所 有 的 进程 (包括 其 他 用 户 的 ) 


-u 用 户 以 及 其 他 详细 信息 
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-X 显示 没有 控制 终端 的 进程 


top 命令 用 于 监视 进程 的 活动 与 系统 负载 ， 格 式 为 : “top” o 
这 个 top 命令 可 真 的 是 太 厉 害 了 ， 完 全 可 以 比喻 成 是 “强化 版 的 Windows 任务 管理 器 ”， 和 运行 界面 见 右 图 : 
前 面 的 五 行为 系统 整体 的 统计 信息 ， 下 面 我 们 来 逐 行 的 讲解 : 
第 1 行 :系统 时 间 ， 和 运行 时 间 ， 登 陆 用 户 数 ， 系 统 负载 (分 别 为 1 分 钟 、5 分 钟 、15 分 钟 的 平均 值 )。 
第 2 行 :进程 总 数 ， 和 运行 中 的 ， 睡 眠 中 的 ， 停 止 的 ， 僵 尸 的 。 
第 3 行 :用 户 占用 资源 ， 系 统 内 核 占 用 资源 ， 改 变 过 优先 级 的 进程 ， 空 内 的 资源 ， 等 待 输入 输出 的 时 间 。 
此 行 数据 均 为 CPU 数据 并 以 百分比 格式 显示 ， 例 如 ”99.2 id” 意 味 着 有 99.2% 的 CPU 资源 正在 空闲 中 。 
第 4 行 :物理 内 存 总 量 ， 使 用 量 ， 空 间 量 ， 作 为 内 核 缓存 的 内 存量 。 
第 5 行 :虚拟 内 存 总 量 ， 使 用 量 ， 空 闪 量 ， 已 被 提前 加 载 的 内 存 数 据 。 
进程 的 信息 区 中 包含 了 各 个 进程 的 详细 信息 ， 含 义 如 下 : 
PID: 进 程 ID 号 
USER: 进 程 的 所 有 者 
PR: 优 先 级 
NT: 优先 级 ( 负 值 表示 优先 级 更 高 ) 
VIRT: 虚 拟 内 存 使 用 量 
RES: 物 理 内 存 使 用 量 
SHR: 共 侍 内 存 大 小 
S: 进 程 状态 (上 文中 有 提 到 ) 
%CPU: 运 算 器 的 使 用 百分比 
%MEM: 内 存 的 使 用 百分比 
TIME+: 使 用 CPU 的 时 间 ( 单 位 是 1/100 秒 ) 
COMMAND: 命 令 名 称 
pidof 命令 用 于 查询 某 个 特定 程序 的 进程 PID 值 ， 格 式 为 : “pidof [参数 ] [程序 名 称 ]”。 
查询 ”sshd” 进 程 的 PID 值 :”pidof sshd” 
kill 命令 用 于 终止 茶 个 特定 PID 号 码 的 进程 ， 格 式 为 : “kill [参数 ] [进程 PID 号 ]”。 
强制 终止 PID 为 4674 的 进程 :”kill -9 4674" 
@@ 其 中 的 ”-9” 代 表 强 制 终止 (SIGKILL)， 也 是 最 常用 的 一 种 信号 参数 ， 查 看 全 部 请 执行 ”kill -1” 
killall 命令 用 于 终止 茶 个 特定 名 称 的 所 有 进程 ， 格 式 为 : “killall [参数 ] [进程 名 称 ]”。 
终止 名 称 为 ”sshd” 的 进程 :”killall sshd” 
在 终端 中 运行 一 个 命令 后 如 果 想 立即 的 停止 它 ， 可 以 使 用 组 合 键 ”Ctrlrc“， 这 样 命令 的 进程 将 会 彻底 的 被 终止 。 
但 还 有 一 种 玩法 是 ”Ctrltz“， 它 是 将 命令 的 进程 暂停 也 叫 挂 载 到 后 全 或 扔 到 后 台 )， 先 来 看 两 条 命令 吧 : 
这 条 命令 会 每 秒 向 家 目录 中 的 jobs.txt 中 追加 一 个 字符 串 : 
[root@linuxprobe ~]# (while true ;do echo -n " working " >> -/jobs.txt;sleep 1 ;done;) 
自动 刷新 查看 文件 内 容 的 变化 : 
[root&linuxprobe ~|# tail -f ~/jobs.txt 
模拟 训练 : 试 试 ”Ctrltz”， 学 习 jobs、bg 和 fg 命令 。 
开始 执行 写 入 命令 : 
[root@linuxprobe -]* (while true ;do echo -n " working " >> -/jobs.txt;sleep 1 ;done;) 
确认 一 直 在 被 写 入 字符 : 
[root@linuxprobe ~|# tail -f ~/jobs.txt 
项 击 ”ctrltz“ 后 ， 这 条 命令 的 进程 被 暂停 了 (另外 的 终端 中 不 再 被 追加 内 容 ) : 


[root@linuxprobe -]* (while true ;do echo -n " working " >> -/jobs.txt;sleep 1 ;done;) 
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^Z 
[1]+ Stopped ( while true; do 
echo -n " working " >> -/jobs.txt; sleep 1; 
done ) 
使 用 jobs 命令 可 以 查看 到 所 有 在 后 人 台 运 行 着 的 进程 : 
[rootelinuxprobe ~|# jobs 
[1 + Stopped ( while true; do 
echo -n " working " >> -/jobs.txt; sleep 1; 


done ) 





运行 bg 命令 计 后 台 的 程序 继续 执行 ， 现 在 后 台中 只 有 一 个 进程 ， 所 以 省 略 了 编号 ， 完 整 格式 应 为 ”bg 1 


[rootelinuxprobe ~|# bg 

[1] (while true; do 

echo -n " working " >> -/jobs.txt; sleep 1; 

done ) 

运行 人 命令 将 后 台 的 进程 再 调 回 前 台 ， 程 序 依然 在 运行 ， 此 时 你 可 以 敲 击 组 合 键 ”ctrlt+c "di 
[root@linuxprobe ~|# fg 

( while true; do 

echo -n " working " >> -/jobs.txt; sleep 1; 

done )& 
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po app c M Tune i 去 输入 命令 了 ， 此 时 便 可 以 在 这 条 命令 后 面 添加 
个 ”& “符号 ,那么 从 一 开始 执行 该 命令 就 会 是 在 后 台 执 行 〈 不 是 在 后 台 和 暂停 ， 而 是 在 运行 的 )。 

8.2 配置 网 卡 连接 网 络 

8.2.1 配置 网 卡 参数 

本 实验 需要 两 全 虚拟 主机 来 完成 ， 分 别 是 : 

主机 名 称 操作 系统 IP 地 址 

本 地 主机 红 帽 RHEL7 操作 系统 192.168.10.10 

远程 主机 红 帆 RHEL7 操作 系统 192.168.10.20 


在 正式 配置 sshd 服务 之 前 ,我 们 必须 保证 本 地 主机 与 远程 主机 之 间 数 据 是 可 以 互相 传送 的 ,前面 在 学 习 Vim 编辑 器 








的 章节 中 修改 过 网 卡 文件 ， 本 次 使 用 图 形 工具 来 配置 网 络 ， 效 果 是 一 样 的 。 
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第 1 步 : 执行 命令 “nmtui”。 第 2 步 : 选择 要 编辑 的 网 卡 。 


root@linuxprobe:~/Desktop -~ | 口 | 基 








File Edit View Search Terminal Help root()linuxprobe:*/Desktop -_ | 口 
[rootalinuxprobe Desktop]# nmtui File Edit View Search Terminal Help 


NetworkManager TUI 


Please select an option 


Activate a connection 
Set system hostname 


Quit 





第 3 步 : 编辑 网 卡 信息 。 第 4 步 : 将 网 卡 的 IPv4 配置 项 设置 成 手动 。 


root(plinuxprobe:*/Desktop - | o 








tli be:"/Deskt -[ujlx 
File Edit View Search Terminal Help Dan 


File Edit View Search Terminal Help 


Edit connection 


«Add» 


Device SUME 


«Delete» 


ETHERNET «Show» 


IPv4 CONFIGURATION «Show» 
IPv6 CONFIGURATION «Automatic» «Show» 


] Automatically connect 
[X] Available to all users 


«Cancel» «0K» 


«Quit» 





€ 53/6: Bu Ipv4 配置 项 右 侧 的 (Show)。 第 6 步 : 填 入 IP 地址 信息 。 


root@linuxprobe:~/Desktop NNNM root()linuxprobe:"*/Desktop i e Ia: 








File Edit View Search Terminal Help File Edit View Search Terminal Help 


Edit connection Edit connection 


Profile name 


1 
ZA FEN Device OORA ESTEE SE ET To ES A AG 
ETHERNET «Show» z ETHERNET «Show» 
1 


IPv4 CONFIGURATION «Manual» ENTE IPv4 CONFIGURATION «Manual» «Hide» 
IPv6 CONFIGURATION «Automatic» «Show» Addresses IEVA CEALALTA., <Remove> 
<Add...> 
[ ] Automatically connect Gateway eO 
[X] Available to all users DNS servers <Add...> 
Search domains «Add...» 
«Cancel» «0K» 
Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 








v 


《Linux WIZ IXA =) 


第 7 步 : Wow T M ty (OK). 
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第 8 步 : 确认 信息 填写 正确 后 退出 。 








root@Linuxprobe:"/Desktop je NN. 
File Edit View Search Terminal Help 


Edit connection 


Addresses IEPA LALR IA. 
Add 


Gateway MEN 
DNS servers «Add...» 


Search domains «Add...» 


«Remove» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 


= IPv6 CONFIGURATION «Automatic» 


[ ] Automatically connect 
[X] Available to all users 


«Cancel» 






















t tim laa i Lemmemnti 





ether 00:0c :29:ab:aa: 
RX packets 112 bytes 
RX errors © dropped 
TX packets 54 bytes 
TX errors © dropped 


rootilinuxprobe:7/Desktop 


File Edt View Search Terminai Help 
[root(linuxprobe Desktop]f nstuifj 





$9273«UP ,LOOPBACK , RUNN. 
inet 127.0.0.1 netnma 
inet6 ::1 prefixlen 
loop txqueuelen © ( 
RX packets 902 bytes 
RX errors 8 dropped 
TX packets 902 bytes 
TX errors 8 dropped 


nuxprobe Desktop]4 pi 
.168.10.18 (192.168.1 
fros 192.168.10.10: 
from 192.168.10.10: 


168.10.18 ping statis 
& transmitted, 2 reca 
avg/max/mdev = 0.884/ 
nuxprobe Desktop] 






第 11 步 : 将 此 网 卡 成 功 的 激活 。 






Wren a RGA /Eemeeneme 人 
rootQlinuxprobe-7/Desktop 
Search Terminal Help 




























ether 00:0c:29:3d:30: 
RK packets 112 bytes 
RX errors © dropped 
TX packets 54 bytes 
TX errors 8 dropped 





File Edt View 


6=73<UP LOOPBACK , RUNN 
inet 127.0.0.1 netnma 
inet6 ::1 prefixlen 
loop txqueuelen © ( 
RX packets 902 bytes 
RK errors 8 dropped 
TX packets 902 bytes 
TX errors 8 dropped 


nuxprobe Desktop]4 pi 
.168.10.18 (192.168.1 
from 192.168.10.10: 
from 192.168.10.10: 


168.10.18 ping statis 
s transmitted, 2 rece 
avg/max/mdev = 0.884/ 
nuxprobe Desktop]s 


Bl 9mm 





isa: 


root()linuxprobe:^/Desktop 
File Edit View Search Terminal Help 


Etherne «Add» 


el j 


-+o 


<Delete> 

































ether 00:0c :29:ab:8a: oem loma RA — | fme mmt 人 
RX packets 112 bytes 
RX errors © dropped 
TX packets 54 bytes 
TX errors © dropped 


roctQplinuxprobe:7/Desktop 
Search Terminal Heip 









File Edt View 


6=73<UP , LOOPBACK , RUNN 
inet 127.0.9.1 netma 
inet6 ::1 prefixlen 
loop txqueuelen © (I 
RX packets 902 bytes 
RX errors © dropped 
TX packets 902 bytes 
TX errors 8 dropped 





nuxprobe Desktop]4 pi 
,168.10.18 (192.168.1 
fros 192.168.10.10: 
from 192.168.10.10: 


168.10.18 ping statis 
S transmitted, 2 rece 
avg/max/mdev = 0.884/ 
nuxprobe Desktop]4 


第 12 步 : 通信 测试 。 


ations Places inal 是 di Mon 19:30 


root()linuxprobe:*/Desktop 


File Edt View Search Terminal Help 


[rootülinuxprobe Desktop]£ ping 192.168.10.10 
.168.180.10 (192.168.10.10) 56(84) bytes of data. 
from 192.168.10.10: icmp seq-1 tt1-64 time-0.214 ms 
from 192.168.10.10: icmp seq*2 ttl=64 times0.101 ms 
from 192.168.10.10: icmp seq-3 ttl-64 tíme-0.103 ms 
from 192.168.10.10: icmp seq-4 ttl-64 time-0,098 ms 





weeds — 


第 133»: 请 使 用 "mmtui 工 具 配 置 后 仍然 需要 修改 网 卡 配 置 文件 设置 "ONBOOT=yes 。 
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root()linuxprobe:*/Desktop 


File Edit View Search Terminal Help 
"YPE-Ethernet 

300TPROTO-none 

IAME2enol16777736 

)NBOOT-yes 

)$12192.168.10.1]l 
:PADDR0z192.168.10.10 

REFIX0224 

3ATEWAYOZ192.168.10.1 

)EFROUTE-yes 

.PV4 FAILURE FATAL-no 

:PVeINIT-2no 
JUID213756690 -ac77 -b776-4fc1-f5535cee6f16 


5,18 All 


当 您 按照 上 述 步骤 配置 完 网 卡 后 在 本 地 主机 执行 ”ping 192.168.10.20“ 来 检测 网 络 是 否 已 经 配置 受 当 。 
8.2.2 查看 网 卡 信 息 


nmcli 是 一 款 能 够 方便 我 们 配置 网 络 的 工具 ， 能 够 轻松 的 查看 网 卡 信 息 或 网 络 状态 : 
查看 网 卡 的 配置 信息 : 


[root@linuxprobe ~|# nmcli connection show 


NAME (网 卡 名 称 ) UUID (唯一 识别 码 ) TYPE (网 卡 类 型 ) DEVICE (设备 ) 
eno16777736 13756690-ac77-b776-4fc1-f5535cee6f16 802-3-ethernet eno16777736 
查看 网 卡 的 连接 状态 

[root@linuxprobe ~|# nmcli device status 

DEVICE (设备 ) DPE a) STATE (状态 ) CONNECTION (连接 ) 
eno16777736 ethernet connected enol6771136 

lo loopback unmanaged -- 


如 果 想 看 网 卡 设 备 ”eno16777736“ 的 详细 信息 ， 只 需 执行 ”nmcli con show eno16777736 “, fa &48 2t TEAR] 
对 了 ! 网 卡 还 支持 了 简单 实用 的 多 会 话 功能 了 呢 ， 例 如 将 Linux 系统 安装 到 了 笔记 本 上 ， 上 车 合 到 公司 工作 时 是 要 指 
E IP 地 址 ， 而 晚上 回 到 家 是 DHCP 分 配 IP 地 址 ， 这 样 改 来 改 去 真 的 很 腑 烦 ， 所 以 我 们 可 以 设置 多 个 网 卡 会 证， 在 不 
同 的 环境 激活 就 可 以 了 ， 但 每 个 网 卡 同 时 仅 能 有 一 个 会 话 是 激活 状态 的 。 


我 们 可 以 将 在 公司 的 会 话 叫做 ”company“, 在 家 里 的 会 话 叫 做 ”house“， 记 住 了 哦 ， 现 在 配置 ! 

添加 公司 会 话 ， 参 数 为 connection( 会 话 ),add( 添 加 动作 ),con-name( 会 话 名 称 ),type( 网 卡 类 型 ),ifname( 网 卡 名 称 ): 
[root@linuxprobe ~|# nmcli connection add con-name company type ethernet ifname eno16777736 

Connection company' (346677a8-59b0-4c8a-ae15-2a9f3e502f33) successfully added. 

添加 居家 会 话 : 

[root@linuxprobe ~|# nmcli connection add con-name house ifname eno16777736 autoconnect no type ethernet 
ip4 192.168.10.10/24 gw4 192.168.10.1 

Connection house (03£366a3-04b6-4545-a996-f10d7bffbf64) successfully added. 

尼 用 居家 会 话 : 


[root@linuxprobe ~|# nmcli connection up house 


第 147 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


查看 会 话 的 信息 : 

[root@linuxprobe ~|# nmcli connection show 
NAME (名 称 ) UUID (唯一 标识 符 ) TYPE (网卡 类 型 ) DEVICE (设备 ) 
house 03f366a3-04b6-4545-a996-f10d7bffbf64 802-3-ethernet - 
company 3a6677a8-59b0-4c8a-ae 1 5-2a9f3e502f33 802-3-ethernet -- 
eno16777736 13756690-ac77-b776-4fc1-f5535cee6f16 802-3-ethernet eno16777736 


实用 nmcli 命令 创建 或 修改 的 会 话 配置 信息 回 自 动 保存 为 网 卡 配置 文件 ， 重 启 后 依然 有 效 。 


8.2.8 绑 定 两 块 网 卡 


我 们 可 以 将 多 块 网 卡 多 绑 定 操作 , 不 仅 能 够 提高 带宽 的 速率 而 且 让 其 中 一 块 网 卡 出 现 故 障 时 , 不 会 让 网 络 完全 中 断 。 
第 1 步 :在 虚拟 机 中 人 额外 添加 一 块 网 卡 。 





编辑 虚拟 机 设置 ， 添 加 网 络 适 配 妖 : 保证 两 块 网 卡 的 连接 类 型 都 是 相同 的 : 

Lm E - E is -— 00 M 
]RHEL7-1 m 人 

Hmm T NEDM c RR 网 络 适 配器 类 型 

Pean Tr ein 您 要 添加 何 种 类 型 的 网 络 适 配器 ? 

neg 


Se — Er enana: 网 络 连 接 
- a D 桥接 模式 (R): 直接 连接 到 物理 网 络 
Bre 复制 物理 网 络 连 接 状 态 (p) 
NAT RED: 用 于 共享 主机 的 P 地 址 





o aud -= Ni idi TE EE : 
3 | Esas) ma 自 定义 (5): 特定 虚拟 网 络 需要 保证 两 块 网 络 的 类 类 型 都 是 相同 的 。 
VMnet0 (自动 桥接 ) 





设备 状态 
v| 启动 时 连接 (D) 











[«r-59 J[ x J) 








查看 两 块 网 卡 的 名 称 : 

[root@linuxprobe ~]# ifconfig | grep flags 

eno16777728: flags-4163»UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
eno33554968: flags-4163»2UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 


第 2 步 :配置 网 卡 的 参数 : 
设置 第 1 块 网卡 为 从 卡 ， 而 主 卡 为 bond0: 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-eno 16777728 
TYPE=Ethernet 
BOOTPROTO-none 
ONBOOT-yes 
USERCTL-no 
DEVICEzeno16777728 
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MASTER-bondO 
SLAVE-yes 
相似 的 方法 设置 第 2 块 网 卡 ， 主 卡 依然 为 bond0: 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-eno33554968 
TYPE=Ethernet 
BOOTPROTO-none 
ONBOOT-yes 
USERCTL-no 
DEVICEzeno33554968 
MASTER-bondO 
SLAVE-yes 


创建 绑 定 网 卡 的 配置 文件 并 指定 IP 地 址 等 信息 : 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-bondO 
TYPE-Ethernet 
BOOTPROTO-none 
ONBOOT-yes 
USERCTL-no 
DEVICE-bondO 
IPADDR-192.168.10.10 
PREFIX-24 
DN$-192.168.10.1 
NM, CONTROLLED-no 
第 3 步 :让 内 核 支持 Bonding 的 了 驱动。 
为 bond0 网 卡 添加 bonding 驱动 的 支持 : 
[rootelinuxprobe ~|# vim /etc/modprobe.d/bond.conf 
alias bondO bonding 
options bondO miimon-100 mode-6 
常用 的 绑 定 驱 动 模式 有 : 
mode=0 平衡 负载 模式 :平时 两 块 网 卡 均 工作 ， 且 自动 备 援 ， 采 用 Switch 支援。 
mode=1 自动 备 援 模式 :平时 只 有 一 块 网 卡 工作 ， 故 障 后 自动 蔡 换 为 为 外 的 网 卡 。 
mode=6: 平 衡 负 载 模式 :平时 两 块 网卡 均 工作 ， 且 自动 备 援 ， 无 须 设置 Switch 支援 。 
第 4 步 :重新 加 载 网 卡 后 绑 定 即 成 功 。 
重新 加 载 网 卡 信息 : 


[root@linuxprobe ~|# Systemctl restart network 


8.2.4 查看 端口 状态 


有 经 验 的 管理 员 都 会 在 配置 网 卡 后 顺手 执行 一 条 ping 命令 来 检测 网 络 的 可 用 性 ， 并 且 以 前 大 家 习惯 用 netstat 命令 
查看 本 机 的 端口 连接 状态 ， 这 条 命令 也 已 经 在 红 帽 RHEL7 系统 中 则 被 效率 更 高 、 显 示 信 息 更 多 的 ss 命令 蔡 代 了 。 
ss 命令 用 于 查看 本 机 的 端口 连接 状态 ， 具 体 的 参数 : 


参数 作用 


-a 
-l 
-€ 
-m 
-P 
-4 
-6 
i 
-u 
-n 
-S 
查看 监听 状态 中 的 套 接 字 : 
[root@linuxprobe ~|# ss -ntl 
State Recv-Q 
LISTEN 0 
LISTEN 0 
LISTEN O 
LISTEN 0 
LISTEN 0 
查看 进程 名 和 PID 号 码 : 


[root@linuxprobe ~|# ss -s 


Total: 1091 (kernel 1173) 
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显示 所 有 的 套 接 字 
显示 所 有 连接 状态 的 套 接 字 
显示 详细 的 套 接 字 信息 
显示 套 接 字 的 内 存 使 用 情况 
显示 套 接 字 的 进程 信息 
显示 ipv4 的 套 接 字 信息 
显示 ipv6 的 套 接 字 信息 
仅 显示 tcp 的 套 接 字 信息 
仅 显示 udp 的 套 接 字 信 息 
不 解析 主机 名 (提升 速度 ) 


查看 概述 


Send-Q Local Address:Port 
100 127:0.0.1:25 

128 755920 

100 TAZ 

128 TOOG] 
128 ::60863 


TCP: 11 (estab O, closed 1, orphaned O, synrecv O, timewait 0/0), ports O 
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Peer Address:Port 


K.K 


K.K 


K.K 


Kok 
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Transport Total I" IPv6 
* 1173 

RAW O O O 
UDP I3 8 5 
TCE 10 5 5 
INET 2 l3 10 
FRAG O O O 


如 果 我 们 希望 查看 IP 数据 包 从 本 机 到 另外 一 全 电脑 经 过 的 路 由 信息 ， 那 就 可 以 用 tracepath 命令 啦 ! 

这 里 格式 非常 简单 :”tracepath 目标 地 址 (域名 或 IP 地 址 均 可 )“， 确 实 没什么 可 讲 。 

[rootelinuxprobe ~|# tracepath www.linuxprobe.com 

追踪 从 本 地 主机 到 《Linux 就 该 这 么 学 》 的 服务 器 中 数据 包 经 过 了 那些 路 由 器 ， 般 来 讲 路 由 跳 数 越 少 ， 延 时 越 低 ， 访 
问 速 度 越 快 哦 ! 


8.3 远程 控制 服务 


8.3.1 了 解 sshd 服务 


SSH(Secure Shel) 是 一 种 能 够 提供 安全 远程 登陆 会 话 的 协议 ， 假 如 希望 在 远程 Linux 系统 中 执行 命令 ， 就 是 通过 这 个 
协议 啦 ! 

为 什么 要 强调 SSH 协议 是 安全 的 吃 ? 因为 比如 ftp、telnet 等 服务 在 网 络 上 不 会 对 口令 或 数据 进行 加 密 ， 那 么 骇 客 们 
真 的 非常 容易 就 可 以 截获 这 些 信息 (尤其 是 同 局 域 网 内 的 用 户 )， 因 此 它们 在 本 质 是 就 是 不 安全 的 。 

sshd 服务 提供 两 种 安全 验证 的 方法 : 

基于 口令 的 安全 验证 :经 过 验证 帐号 与 密码 即 可 登陆 到 远程 主机 。 

基于 密 铀 的 安全 验证 :需要 在 本 地 生成 ” 密 钥 对 “后 将 公 钥 传送 至 服务 端 ， 进 行 公共 密 钥 的 比较 。 

sshd 服务 的 配置 文件 解析 : 

[root@linuxprobe ~|# cat /etc/ssh/sshd config 


参数 作用 

#Port 22 默认 的 sshd 服务 端口 。 
#ListenAddress 0.0.0.0 设 定 sshd 服务 端 监听 的 IP 地 址 。 
#Protocol 2 SSH 协议 的 版 本 号 。 

#HostKey /etc/ssh/ssh_host_key SSH 协议 版 本 为 1 时 ， 私 钥 存放 的 位 置 。 


HostKey /etc/ssh/ssh, host, rsa, key SSH 协议 版 本 为 2 时 ，RSA 私 钥 存放 的 位 置 。 
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#HostKey /etc/ssh/ssh host. dsa key SSH 协议 版 本 为 2 时 ，DSA 私 钥 存放 的 位 置 。 
#PermitRootLogin yes 设 定 是 否 允 许 root 用 户 直接 登录 。 
#StrictModes yes 当 远 程 用 户 私 钥 改变 时 则 直接 拒绝 连接 。 
#MaxAuthTries 6 最 大 密码 尝试 次 数 
#MaxSessions 10 最 大 终端 数 
#PasswordAuthentication yes 是 否 允 许 密码 验证 
#PermitEmptyPasswords no 是 否 允 许 空 密码 登陆 〈 很 不 安全 ) 


若 您 想 要 修改 服务 的 配置 参数 ， 请 一 定 要 记得 删除 参数 前 面 的 注释 符 ” 划 “并重 局 服务 才 生 效 的 。 
在 远程 主机 上 启动 sshd 服务 并 加 入 到 开机 启动 项 : 
[root@localhost ~|# systemctl start sshd 
[root& localhost ~|# Systemctl enable sshd 


8.3.2 使 用 ssh 命令 


ssh 命令 用 于 远程 管理 Linux 主机 ， 格 式 为 : “ssh [参数 ] 主机 ”。 


参数 作用 
p 指定 连接 端口 (默认 为 22) 
V 显示 和 连接 过 程 的 详细 信息 


[root&localhost ~|# ssh 192.168.10.20 

The authenticity of host '192.168.10.20 (192.168.10.20)' can't be established. 
ECDSA key fingerprint is 4£a7:91:9e:8d:6£Fb9:48:02:32:61:95:48:ed:1e:3f. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added 192.168.10.20' (ECDSA) to the list of known hosts. 
root 192.168.10.20's password: 此 处 输入 远程 主机 root 用 户 的 密码 

Last login: Wed Apr 15 15:54:21 2015 from 192.168.10.10 

[root?]ocalhost ~|# 


8.3.8 Xe We WE 


使 用 密码 验证 终归 会 存在 着 被 骇 客 暴力 破解 或 与 探 监听 的 危险 ， 其 实 也 可 以 让 ssh 服务 基于 密 铀 进行 安全 验证 〈 可 
无 需 密码 验证 )。 

第 1 步 :在 本 地 主机 中 生成 “ 密 钠 对 ”并 将 公 角 传送 到 远程 主机 中 : 

[root@linuxprobe ~|# ssh-keygen 


Generating public/private rsa key pair. 
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Enter file in which to save the key (/root/.ssh/id_rsa): 回 车 或 设置 密 钠 的 存储 路 径 
Created directory ‘/root/.ssh. 

Enter passphrase (empty for no passphrase): 回 车 或 设置 密 钥 的 密码 

Enter same passphrase again: 

Your identification has been saved in /root/.ssh/id, rsa. 

Your public key has been saved in /root/.ssh/id. rsa.pub. 

The key fingerprint is: 

40:32:48:18:e4:ac:cO:c3:c1:ba:7c:6c:3a:a8:b5:22 rootelinuxprobe.com 

The key's randomart image is: 

+--| RSA 2048|]----+ 


|+*..0 . | 


将 生成 好 的 公 钥 密 钥 传 送 至 远程 主机 : 

[root@linuxprobe ~|# ssh-copy-id 192.168.10.20 

The authenticity of host 192.168.10.20 (192.168.10.20) can't be established. 
ECDSA key fingerprint is 4£a7:91:9e:8d:6£b9:48:02:32:61:95:48:ed:1e:3f. 


Are you sure you want to continue connecting (yes/no)? yes 
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/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed 


/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys 


root 192.168.10.20's password: 
Number of key(s) added: 1 


Now try logging into the machine, with: "ssh 192.168.10.20" 

and check to make sure that only the key(s) you wanted were added. 

第 2 步 :首先 要 在 远程 主机 中 修改 sshd 服务 的 配置 文件 〈 修 改 后 记得 重启 服务 ) : 
第 1 步 : 编辑 ssh 服务 程序 主 配置 文件 。 


(Linux 就 该 这 入 


AL 
F 


》 


HTTP://www.linuxprobe.com 





root(Qlocalhost:^ 


File Edit View Search Terminal Help 
[rootülocalhost ~]# vim /etc/ssh/sshd config Bi 





第 2 步 : 将 允许 密码 验证 的 参数 设置 为 no。 





root@Llocalhost:~ 


File Edit View Search Terminal Help 


#IgnoreUserKnownHosts no 
€ Don't read the user's -/.rhosts and ~/.shosts files 
£IgnoreRhosts yes 


€ To disable tunneled clear text passwords, change to no here! 
fPasswordAuthentication yes 


ZPermitEmptyPasswords no 
2asswordAuthentication no j 
€ Change to no to disable s/key passwords 


£ChallengeResponseAuthentication yes 
zhallengeResponseAuthentication no 


€ Kerberos options 
fKerberosAuthentication no 
fKerberosOrLocalPasswd yes 
fKerberosTicketCleanup yes 
fKerberosGetAFSToken no 
fKerberosUseKuserok yes 


€ GSSAPI options 

£GSSAPIAuthentication no 

3SSAPIAuthentication yes 

-- INSERT -- 78,26 


第 3 步 : 将 允许 密 钥 验 证 的 参数 设置 为 yes。 


52% 





root@localhost:~ 


File Edit View Search Terminal Help 
#LogLevel INFO 


# Authentication: 


#LoginGraceTime 2m 
#PermitRootLogin yes 
#StrictModes yes 
#MaxAuthTries 6 
#MaxSessions 10 


ET TR TR 


# The default is to check both .ssh/authorized keys and .ssh/authorized keys2 
# but this is overridden so installations will only check .ssh/authorized keys 


AuthorizedKeysFile .ssh/authorized keys 
&£AuthorizedPrincipalsFile none 


£AuthorizedKeysCommand none 
£AuthorizedKeysCommandUser nobody 


# For this to work you will also need host keys in /etc/ssh/ssh known hosts 


54,24 


31% 





第 4 步 : 保存 并 退出 配置 文件 。 
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root(glocalhost:* 


File Edit View Search Terminal Help 
fLogLevel INFO 

t Authentication: 

fLoginGraceTime 2m 
fPermitRootLogin yes 

fStrictModes yes 

fMaxAuthTries 6 

fMaxSessions 10 


fRSAAuthentication yes 
?ubkeyAuthentication yes 


# The default is to check both .ssh/authorized keys and .ssh/authorized keys2 
f but this is overridden so installations will only check .ssh/authorized keys 
iuthorizedKeysFile .ssh/authorized keys 


f£AuthorizedPrincipalsFile none 


f£AuthorizedKeysCommand none 
fAuthorizedKeysCommandUser nobody 


t For this to work you will also need host keys in /etc/ssh/ssh known hosts 
:wq ll 


第 5 步 : 重启 ssh 服务 程序 后 即 可 生效 。 


root@localhost:~ -|H 


File Edit View Search Terminal Help 


.rootülocalhost ~]# vim /etc/ssh/sshd config 
.rootülocalhost ~]# systemctl restart sshd 
'rootülocalhost -]£ 


第 3 步 : 最 后 来 党 试 无 需 密码 的 远程 登录 吧 : 
[root@linuxprobe ~|# ssh 192.168.10.20 
Last login: Mon Apr 13 19:34:13 2015 


8.3.4 远程 传输 命令 


要 想 将 一 些 文件 通过 网 络 传送 给 其 他 主机 ， 又 恰好 两 台 主 机 都 是 Linux 系统 ， 我 们 便 可 以 直接 用 scp 命令 传输 文件 
到 男 外 一 全 主机 ~ 
scp 命令 用 于 在 网 络 中 安全 的 传输 文件 ， 格 式 为 : “scp [参数 ] 本 地 文件 远程 帐户 @ 远 程 IP 地 址 :远程 目录 ”。 


参数 作用 

Ay 显示 详细 的 连接 进度 

P 指定 远程 主机 的 sshd 端口 号 
T 传送 文件 夹 时 请 加 此 参数 


-6 使 用 ipv6 协议 


将 本 地 文件 /root/out.txt 传送 到 远程 主机 的 /home 目录 : 
[root@linuxprobe ~|# scp /root/out.txt 192.168.10.20:/home 
root@192.168.10.20's password: 此 处 输入 远程 主机 中 root 用 户 的 密码 
out.txt 10096 0 O.OKB/s 00:00 

传送 下 文件 夹 并 指定 远程 用 户 : 
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[root&linuxprobe ~|# scp -r results/ linuxprobe€192.168.10.20:7/home 
linuxprobee 192.168.10.20's password: 此 处 输入 远程 主机 中 linuxprobe 用 户 的 密码 
强大 的 scp 命令 还 可 以 将 远程 主机 的 文件 传输 到 本 地 呢 ， 格 式 为 ”scp [参数 | 远程 用 户 @ 远 程 IP 地 址 :远程 文件 本 
地 目录 。 
将 远程 主机 的 /etc/issue.net 文件 下 载 到 本 地 的 /root 目录 : 
[root@linuxprobe ~|# scp linuxprobe@192.168.10.20:/etc/issue.net /root 
linuxprobe@192.168.10.20's password: 
issue.net 10096 22 0.0KB/s 00:00 


8.4 不 间断 会 话 服务 


8.4.1 了 解 Screen 服务 


ue uA E E e 端 被 关闭 时 ， 和 运行 在 服务 器 上 的 命令 也 会 中 断 。 如 
果 有 长 时 间 文 件 备份 或 FTP 传输 等 任务 时 ， 通 常 我 们 都 会 新 开 一 个 连接 窗口 再 继续 工作 ， 并 且 中 途 不 能 关闭 窗口 或 
断 开 链接 (也 包括 网 络 不 稳定 的 情况 )， 否 则 这 个 任务 就 会 被 中 断 ， 还 要 重新 开始 。 

Screen 便 是 为 了 解决 上 述 间 题 而 设计 的 ,， 用 户 可 以 通过 使 用 Screen 命令 同时 控制 多 个 命令 行 会 话 并 自由 切换 ,特点 
有 : 

会 话 恢 复 :即便 网 络 中 断 ， 也 可 让 会 话 随时 恢复 ， 用 户 不 会 失去 对 命令 行 的 控制 。 

多 窗口 :每 个 会 话 都 是 独立 运行 的 ， 拥 有 独立 的 编号 、 输 入 输出 和 窗口 缓存 。 

会 话 共享 :可 以 使 多 个 用 户 从 不 同 终端 使 用 同一 个 会 话 ， 也 可 让 他 们 看 到 完全 相同 的 输出 。 


8.4.2 掌握 命令 参数 


红 帽 RHEL7 系统 中 默认 没有 包含 screen， 需 要 先 来 安装 。 

使 用 yum 命令 安装 screen 程序 包 : 

[root@linuxprobe ~|# yum install screen 

Loaded plugins: langpacks, product-id, subscription-manager 
m d SA EE eee 

Installing: 

screen x86. 64 4.1.0-0.19.2012031 4git3c29406.el7 rhel7 551 k 
A A E a 


Complete! 
screen 命令 的 常用 命令 参数 包括 : 
参数 作用 


-A 让 所 有 视窗 自动 调整 适应 当前 终端 机 的 大 小 。 
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-d < 会 话 名 称 > 将 指定 的 screen 会 话 离线 。 

T< 会 话 名 称 > 将 指定 的 screen 会 话 恢 复 。 

-h< 行 数 > 指定 视窗 的 缓冲 区 行 数 。 

_S< 会 话 名称 > 指定 screen 会 话 的 名 称 

xX 恢复 所 有 离线 的 会 话 。 

Js 或 list 显示 当前 的 Screen 会 话 。 

-Wipe 自动 将 无 法 使 用 的 screen 会 话 删除 。 


8.4.3 创建 与 使 用 会 话 功能 


完成 安装 后 直接 运行 Screen 即 可 使 用 服务 ， 推 荐 为 每 个 会 话 都 取 一 个 名 字 ， 方 便 分 辩 。 
创建 名 称 为 backup 的 会 话 : 

[rootelinuxprobe ~|# screen -S backup 

查看 当前 已 经 存在 的 会 话 : 

[rootelinuxprobe ~|# screen -ls 

There is a screen on: 

32230.backup (Attached) 

1 Socket in /var/run/screen/S-root. 

当 执 行 screen 命令 后 会 调用 系统 默认 的 shell( 通 常 即 bash), MAURE screen 命令 后 会 立即 返回 一 个 命令 提示 符 ， 
虽然 看 起 来 与 刚刚 没有 变化 ， 但 此 时 你 已 经 进入 screen 会 话 啦 ! 

创建 一 个 会 话 ， 初 始 为 用 vim 编辑 性 写 文件 : 

[root@linuxprobe ~|# screen vim memo.txt 

退出 vim 后 会 话 也 会 被 自动 被 删除 : 


[rootelinuxprobe ~|# screen -ls 





There is a screen on: 

32230.backup (Attached) 

1 Socket in /var/run/screen/S-root. 
新 建 一 个 叫做 linuxprobe 的 会 话 : 
[rootelinuxprobe ~|# screen -S linuxprobe 
列 出 当前 所 有 会 话 〈 有 两 个 哦 ) : 
[rootelinuxprobe ~|# screen --Is 
There are screens on: 
32403.linuxprobe (Attached) 
32230.backup (Attached) 

2 Sockets in /var/run/screen/S-root. 
回 到 backup 会 话 中 : 


[root&linuxprobe ~|# screen -r backup 


第 157 页 


(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
将 linuxprobe 会 话 离 线 : 
[root@linuxprobe ~|# screen -d linuxprobe 
[remote detached from 32403.linuxprobe| 
再 次 查看 会 话 状态 (linuxprobe 已 经 被 离线 了 ): 
[root@linuxprobe ~|# screen -ls 
There are screens on: 
32403.linuxprobe (Detached) 
32230.backup (Attached) 
2 Sockets in /var/run/screen/S-root. 
将 当前 会 话 离线 并 回 到 linuxprobe & 36 v : 
[rootelinuxprobe ~|# screen -d -r linuxprobe 
[32403.linuxprobe detached ,| 
回 到 linuxprobe 会 话 后 ， 状 态 又 改变 了 : 
[rootelinuxprobe ~|# screen -ls 
There are screens on: 
32403.linuxprobe (Attached) 
32230.backup (Attached) 
2 Sockets in /var/run/screen/S-root. 
[/pre] 
总 结 来 说 :将 screen 会 话 甚至 为 暂时 断 开 (detach), 那么 会 话 窗口 中 的 程序 依然 会 执行 。 随 后 将 会 话 重新 连接 (attach)， 
那么 即 可 重新 控制 会 话 窗口 中 运行 的 程序 啦 。 


8.4.4 会 话 共享 功能 


会 话 共享 功能 是 一 件 很 酷 的 事 ， 它 让 多 个 用 户 同 时 使 用 茶 一 个 会 话 ， 甚 至 让 您 和 对 方 看 到 相同 的 终端 内 容 ， 拓 扑 如 下 : 









第 1 步 : 创 建 会 话 


screen -S linuxprobe 


第 2 步 :同步 终端 信息 


Screen -x 


红 帽 RHEL7 系 统 


KA P Linux 主机 均 连 入 同一 个 服务 故 : 
在 主机 A 的 终端 上 执行 创建 会 话 的 操作 : 
[root@linuxprobe ~|# screen -S linuxprobe 
在 主机 B 的 终端 上 同步 会 话 信 息 : 
[rootelinuxprobe ~|# screen -x 


那么 此 时 终端 A 与 终端 B 上 做 的 任何 操作 ， 都 可 以 实时 同步 到 对 方 的 屏幕 上 ， 真 的 很 酷 哦 ! 
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第 9 章 使 用 Apache 服务 部 署 静 态 网 站 o 


章节 简 述 : 

本 章节 中 通过 对 比 目 前 热门 的 网 站 服务 程序 来 说 明 Apache 服务 程序 的 优势 ， 并 新 增 主机 空间 选 购 技巧 小 节 。 
了 解 SELinux 服务 的 3 种 工作 模式 ， 小 心 谨慎 的 使 用 semanage 命令 和 setsebool 命令 配置 SELinux 安全 上 下 文 和 服务 监管 策略 。 
学 习 Apache 网 站 服务 程序 的 基本 部 署 、 个 人 用 户主 页 功能 以 及 基于 IP 地址、 主机 名 (域名) 、 端 口号 的 虚拟 主机 功能 。 


9.1 网 站 服务 程序 


Web 网 络 服务 也 叫 WWW (World Wide Web), 一 般 是 指 能 够 让 用 户 通过 浏览 器 访问 到 互联 网 中 文档 等 资源 的 服务 。 
目前 提供 WEB 网 络 服务 的 程序 有 Apache. Nginx 或 IIS 等 等 ，Web 网 站 服务 是 被 动 程 序 ， 即 只 有 接收 到 互联 网 中 
其 他 计算 机 发 出 的 请 求 后 才 会 响应 ， 然 后 Web 服务 器 才 会 使 用 HTTP( 超 文本 传输 协议 ) 或 HTTPS ( 超 文本 安全 传输 
协议 ) 将 指定 文件 传送 到 客户 机 的 浏览 器 上 。 


向 服务 器 发 出 WEB 请 求 
一 
NO 一 一 


< 一 
浏览 器 将 文档 传送 给 客户 浏览 器 





IET 


EAS 
现在 既然 知道 了 Web 网 站 服务 的 原理 ， 那 么 都 有 那些 程序 可 以 提供 Web 4X? 又 各 自 有 何 优势 ? 来 一 起 分 析 下 吧 : 


internet information services 





Windows 系统 中 默认 Web 服务 程序 是 IIS(Internet Information Services)， 这 是 一 款 图 形 化 的 网 站 管理 工具 ，IIS 程序 不 
Eve ee ii MEM SEMI 


NGIN 


http Server 





nginx 一 一 最 初 于 2004 年 10 月 4 日 为 俄罗斯 知名 门户 站 点 而 开发 的 ， 作 为 一 球 轻 量 级 的 网 站 服务 软件 ， 因 其 稳定 性 和 丰富 的 
功能 而 深 受 信赖 ， 但 最 最 最 被 认可 的 是 低 系 统 资源 、 占 用 内 存 少 且 并 发 能 力 强 ， 目 前 国内 如 新 浪 、 网 易 、 腾 讯 等 门户 站 均 使 用 。 
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APACHE 
- WEB SERVER - 
Apache 一 一 取 自 美国 印第安 人 土著 语 Apache, 富 意 着 拥有 高 超 的 作战 策略 和 无 穷 的 耐性 ， 由 于 其 跨 平 台 和 安全 性 三 
泛 被 认可 且 拥 有 快速 、 可 靠 、 简 单 的 API 扩展 。 目 前 拥有 很 高 的 Web 服务 软件 市 场 占 用 率 ， 全 球 使 用 最 多 的 Web 
服务 软件 ， 开 源 、 跨 平台 〈 可 运行 于 Unixlinux windows 中 )。 
支持 基于 IP 或 域名 的 虚拟 主机 


支持 多 种 方式 的 HTTP 认证 
集成 代理 服务 故 模 块 

安全 Socket 层 (SSL) 

能 够 实时 见识 服务 状态 与 定制 日 志 
多 种 模块 的 支持 


Ta 


APAC HE 





Tomcat 一 一 属于 轻 量 级 的 Web 服务 软件 ， 一 般 用 于 开发 和 调试 JSP 代码 ， 通 党 认为 Tomcat Æ Apache 的 扩展 程 
Bs 


总 结 来 说 Nginx 程序 作为 Web 服务 软件 届 的 后 起 之 秀 已 经 通过 自身 的 努力 与 优势 赢得 了 大 批 站 长 的 信赖 ， 例 如 咱们 
的 《Linux 就 该 这 么 学 》 就 是 基于 Nginx 服务 部 署 的 ， 不 得 不 说 真 的 很 棒 ! 但 是 Apache 程序 作为 老牌 的 Web 服务 
软件 因 其 卓越 的 稳定 性 与 安全 性 成 为 了 红 帽 RHEL7 系统 中 默认 的 网 站 服务 软件 ， 同 样 也 是 红 帽 RHCSA 与 RHCE 考 
试 认 证 中 如 不 开 的 考题 。 


9.2 选 购 服务 媳 主 机 


网 站 是 由 域名 、 网 页 源 程序 和 主机 空间 组 成 的 ， 其 中 主机 空间 则 是 用 于 存放 网 页 源 代码 并 能 够 将 网 页 内 容 展 示 给 用 户 ， 
然 本 小 节 与 Apache 服务 没有 直接 关系 ， 但 如 果 您 想 要 在 互联 网 中 搭建 网 站 并 被 顺利 访问 ， 主 机 空间 一 定 不 能 选 错 。 











ve<es , 


e s 
-— 2 


第 161 页 


(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


常见 的 主机 空间 包括 虚拟 主机 、VPS、 云 服务 器 与 独立 服务 器 : 
虚拟 主机 :在 一 合 服务 器 中 分 出 一 定 的 磁盘 空间 供用 户 放 置 网 站 、 存 放 数 据 等 ， 仅 提供 基础 的 网 站 访问 、 数 据 存 
放 与 传输 流量 功能 ， 能 够 极 大 的 降低 用 户 费 用 ， 也 几乎 不 需要 管理 员 维 护 除 网 站 数据 以 外 的 服务 ， 适 合 小 型 网 站 。 
VPS(Virtual Private Server): 在 一 合 服务 器 中 利用 OpenVZ, Xen X KVM 等 虚拟 化 技术 模拟 出 多 个 “主机 ”， 
每 个 主机 都 有 独立 的 IP 地 址 、 操 作 系 统 ， 实 现 不 同 VPS Zo E EE E ERE. WR. CPU 资源 、 进 程 与 系统 配置 间 的 完全 
隔离 ， 管 理 员 可 自由 使 用 分 配 到 的 主机 中 的 所 有 资源 ， 所 以 需要 有 一 定 的 维护 系统 的 能 力 ， 适 合 小 型 网 站 。 
云 服 务 器 (ECS): 是 一 种 整合 了 计算 、 存 储 、 网 络 ， 能够 做 到 弹性 伸缩 的 计算 服务 , 其 使 用 起 来 与 VPS 几乎 一 样 ， 
但 差别 是 云 服 务 器 建立 在 一 组 集群 服务 器 中 ， 每 个 服务 器 都 会 保存 一 个 主机 的 镜像 〈 备 份 )， 大 大 的 提升 了 安全 稳定 
性 ， 另 外 还 具备 了 灵活 性 与 扩展 性 ， 用 户 只 需 按 使 用 量 付费 的 即 可 ， 适 合 大 中 小 型 网 站 。 
独立 服务 器 :这 全 服务 器 仅 提供 给 您 使 用 ， 详 细 来 讲 又 可 以 区 分 为 租用 方式 与 托管 方式 。 
租用 方式 :用 户 只 需 将 硬件 配置 要 求 告 知 IDC 服务 商 ， 服 务 器 硬件 设备 由 机 房 负责 维 护 ， 运 维 管理 员 一 般 
需要 自行 安装 相应 的 软件 并 部 署 网 站 服务 ， 租 期 可 以 为 月 、 季 、 年 ， 减 轻 了 用 户 初期 对 硬件 设备 的 投入 ， 
适合 大 中 型 网 站 。 
托管 方式 :用 户 需要 自行 购置 服务 器 后 交 给 IDC 服务 供应 商 的 机 房 进 行 管理 (缴纳 管理 服务 费用 ), 用 户 对 服 
务 恬 硬件 配置 有 完全 的 控制 权 ， 自 主 性 强 ， 但 需要 自行 维护 、 修 理 服务 器 硬件 设备 ， 适 合 大 中 型 网 站 。 
另外 有 必要 提醒 读者 ， 选 择 主机 空间 供应 商 时 请 一 定 要 注意 看 口碑 ， 综 合 分 析 再 决定 购买 ， 某 些 供应 商会 有 限制 功 
能 、 强 制 添加 广告 、 隐 藏 扣 费 或 强制 扣 费 等 恶劣 行为 ， 一 定 一 定 不 要 上 当 ! 





9.3 安装 Apache 服务 程序 


接 下 来 就 要 试 试 动手 安装 Apache 服务 程序 啦 ， 首 先 按照 前 面 的 章节 中 已 经 学 习 过 方法 挂 载 光 盘 设备 并 Yum 仓库 配置 文件 。 
第 1 步 :在 虚拟 机 软件 里 选中 光盘 镜像 : 






| 硬件 | 选项 









设备 摘要 


mE i 
E 8 
ETE : 0 GB 














使 用 物理 驱动 强 (P): 
动 检测 























El bod] 十 四 0 者 MEL 
Euse 控制 器 存在 
Big 自动 检测 











G:MSO images|RHEL-server- v 浏览 (B)... 
高 级 (V).… 














| we || 取消 || 帮助 | 


第 2 步 :将 光 朴 设备 挂 载 到 /media/cdrom 目录 : 


[root@linuxprobe ~|# mkdir -p /media/cdrom 





[root@linuxprobe ~|# mount /dev/cdrom /media/cdrom 
mount: /dev/srO is write-protected, mounting read-only 
第 3 步 :使 用 Vim 编辑 器 创建 Yum 仓库 的 配置 文件 : 
[root&linuxprobe ~|# vim /etc/yum.repos.d/rhel7.repo 
[rhel7 | 
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name-rhel7 

baseurl-file:///media/cdrom 

enabled-1 

gpgcheck-O 

第 4 步 :安装 Apache 服务 程序 : 

需要 注意 apache 服务 程序 的 软件 包 名 称 叫 做 httpd， 因 此 直接 执行 yum install apache 则 是 错误 的 。 
[root@linuxprobe ~|# yum install httpd 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 

httpd x86. 64 2.4.6-17.el7 rhel7 1.2 M 
Installing for dependencies: 

apr x86, 64 1.4.8-3.el7 rhel7 103 k 
apr-util x86. 64 1.5.2-6.el7 rhel7 92 k 
httpd-tools x86. 64 2.4.6-17.el7 rhel7 77 k 
mailcap noarch 2.1.41-2.el7 rhel7 31 k 


Transaction Summary 


Install 1 Package (+4 Dependent packages) 
Total download size: 1.5 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 


Downloading packages: 


Complete! 
EA MRES E SUERTE di ACAD EFIRI RRA, GET ISSERTE ACE E RIED ONCE, FAR 

您 可 以 将 报错 信息 、 屏 幕 截图 、 硬 件 配置 与 自己 的 操作 过 程 帖 到 “ 排 错 答疑 区 ”， 专 家 们 会 为 您 1 对 1 解答 。 
第 5 步 :运行 Apache 服务 程序 并 设置 为 开机 尼 动 : 

启动 Apache 服务 程序 : 

[root@linuxprobe ~|# systemctl start httpd 

设置 为 开机 自 启动 : 

[root@linuxprobe ~|# systemctl enable httpd 

打开 浏览 器 后 键入 http//127.0.0.1, WAARA NH Y 5: 

[rootelinuxprobe ~|# firefox 


本 Applications Places Ge Web Browser 


r the Apache HTTP Server on Red Hat Enterprise Linux - Mozilla Firefox 


x || 
; B a 


e Ed: View History Bookmarks ools Heip 
est Page for tha Apache = |i {Rad Hat 
127.0.0.1 : 
Red Hat Enterprise Linux Test Page 
Tris page is used to west the proper operaton of the Ap ver eier k ^as been i^szaled. It vou ca^ reac chis page. t means te: he Apache HTTP server 
nstalled at Wis ste is working p'eper 


If you are à member of the general public: If you are the si 


Tre fact that you are seerq this pege Ind cates that te website yo. ust 
visi i i 














m root (nuxprobe--/Decktop & Test Page for the Apache HTTP .. 1/4 © 
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9.4 配置 服务 文件 参数 


慢 着 ! 先 别 激动 1 刚刚 学 会 的 安装 和 运行 


都 是 干 嘛 用 的 吧 : 
服务 目录 


配置 文件 
网 站 数据 目录 
访问 日 志 


错误 日 志 


打开 Apache 服务 程序 的 配置 文件 : 


学 习 Apache 服务 成 功 路 上 的 第 一 步 ,现在 来 了 解 下 各 个 httpd 服务 目录 


/etc/httpd 
/etc/httpd/conf/httpd.conf 
/var/Wwww/ html 
/var/log/httpd/access log 


/var/log/httpd/error log 


[rootelinuxprobe ~|# vim /etc/httpd/conf/httpd.conf 
初次 看 到 配置 文件 可 真 的 吓 了 一 跳 ，353 行 ! 这 没有 一 周 研 究 不 完 吧 | 
其 实 吓 晓 你 们 的 了 ,所 有 以 # 号 开始 的 叫 注释 行 ， 这 些 只 是 描述 介绍 而 已 ， 真 正 的 参数 有 : 


ServerRoot 
ServerAdmin 
User 

Group 
ServerName 
DocumentRoot 
Listen 
DirectoryIndex 
ErrorLog 
CustomLog 
Timeout 


Include 





服务 目录 


管理 员 邮 箱 


运行 服务 的 用 户 


运行 服务 的 用 户 组 


网 站 服务 占 的 域名 


网 站 数据 目录 


监听 的 IP 地 址 与 端口 号 


默认 的 索引 页 页 面 


错误 日 志文 件 


访问 日 志文 件 


网 页 超时 时 间 , 默 认为 300 fh. 


需要 加 载 的 其 他 文件 
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Apche 服务 程序 的 配置 文件 内 容 分 为 三 种 类 型 : “注释 行 信息 ”，“ 全 局 配置 ”，“ 区 域 配 置 ”。 


[root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 


# This is the main Apache server configuration file 


ServerRoot "/etc/httpd" 


ServerName www.linuxprobe.com 


«ILocation» 区 域 配置 





默认 的 网 站 数据 是 存放 在 /Var/Wwww/html 目录 中 的 ， 首 页 名 称 是 index.html， 来 动手 写 入 一 个 文件 替换 到 默认 页 面 吧 。 
使 用 echo 命令 将 指定 的 字符 写 入 到 网 站 数据 目录 中 的 index.html 文件 中 : 

[root@linuxprobe ~|# echo "Welcome To LinuxProbe.Com > /var/www/html/index.html 

再 次 打开 浏览 器 ， 键 入 http://127.0.0.1， 好 棒 ， 成 功 了 ! 


[root@linuxprobe ~|# firefox 


Mozilla Firefox 


图 ~ Q d A 


这 样 一 试 果 然 成 功 了 ， 原 来 真 不 是 很 难 ， 信 心 大 涨 ! 要 想 将 网 站 数据 放 在 /home/wwwroot 目录 ， 该 如 何 操作 呢 ? 
编辑 Apache 服务 程序 的 主 配 置 文件 : 

[rootelinuxprobe ~|# vim /etc/httpd/conf/httpd.conf 

将 在 119 行 的 DocumentRoot 参数 修改 为 ”/home/wwwroot“, 再 把 在 123 行 的 ”/var/WWW“ 修 改 
A" /home/wwwroot “ 

建立 网 站 数据 目录 : 

[root@linuxprobe ~|# mkdir /home/wwwroot 

创建 首页 文件 : 

[root@linuxprobe ~|# echo "The New Web Directory" > /home/wwwroot/index.html 

重新 启动 Apache 服务 : 

[root@linuxprobe ~|# systemctl restart httpd 

再 来 打开 浏览 器 看 下 效果 吧 ， 依 然 是 键入 http//127.0.0.1: 


[rootelinuxprobe ~|# firefox 
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f Applications Places ER. Méala fearan 4 中 Tul423 Qront 
Test Page for the Apa erver on Red Hat Enterprise Linux - Mozilla Firefox 








e free ty ose Une misge below on wel siles pawered bre 
HTP Server: 
APACHE 














[ LL NE e Apache KTT 144 O 


好 奇怪 !! 为 什么 会 是 默认 页 面 ? 只 有 首页 页 面 不 存在 或 有 问题 才 会 显示 Apache 服务 程序 的 默认 页 面 啊 。 
那么 进一步 来 访问 ”http://127.0.0.1/index.html“， 怎 么 样 ? RAR T? 访问 页 面 的 行为 是 被 禁止 的 。 
Forbidden 
You don t have permission to access /index.html on this server. 


我 们 的 操作 与 刚刚 的 前 面 的 实验 一 样 啊 ， 但 这 次 的 访问 行为 会 被 禁止 呢 ? 这 就 要 先 了 解 下 SElinux Hio 


9.5 强制 访问 控制 安全 子 系统 





SELinux 


SELinux 全 称 为 Security-Enhanced Linux 是 美国 国家 安全 局 在 Linux 社区 帮助 下 开发 的 一 个 强制 访问 控制 的 安全 子 
系统 ，SELinux 属于 MAC 强制 访问 控制 (Mandatory Access Control) 一 一 即 让 系统 中 的 各 个 服务 进程 都 受到 约束 ， 
即 仅 能 访问 到 所 需要 的 文件 。 
以 本 人 的 亲身 经 历 不 得 不 说 国内 很 多 运 维 人 员 对 SELinux 的 理解 不 深 导致 该 功能 在 很 多 服务 器 中 直接 被 禁用 。 
模式 一 : enforcing - 安全 策略 强制 启用 模式 ， 将 会 拦截 服务 的 不 合法 请 求 。 
模式 二 : permissive - 遇 到 服务 越权 访问 只 会 发 出 警告 而 不 强制 拦截 。 
模式 三 : disabled - 对 于 越权 的 行为 不 警告 ， 也 不 拦截 。 
有 时 关闭 SELinux 后 确实 能 够 减少 报错 几率 , 但 这 极其 的 不 推荐 并 且 本 书 实验 环境 均 为 开启 状态 , 确保 您 的 SELinux 
服务 是 默认 启用 的 : 
第 1 步 :切换 到 SELinux 服务 的 配置 文件 目录 ”/etc/selinux “。 
第 2 步 :编辑 config 文件 将 模式 改 为 强制 启用 ， 记 得 保存 哦 ! 
如 果 发 现 SELINUX=permissive 或 disabled 那 就 赶紧 改过 来 吧 : 
[root@linuxprobe ~|# cd /etc/selinux 
[rootelinuxprobe selinux|# vim config 
SELINUX-enforcing 
此 时 可 以 来 查询 下 当前 的 SELinux 服务 状态 : 
[root&linuxprobe ~|# getenforce 


Enforcing 
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9.6 人 允许 SELinux 策略 


哦 ~~ 原 来 如 此 ， 为 了 确认 是 这 个 讨厌 的 SELinux 服务 在 的 鬼 ， 我 们 来 先 关 闭 它 试 试 吧 : 
[root&linuxprobe ~|# setenforce O 

检查 状态 ， 现 在 已 经 是 “禁止 模式 ”了 : 

[root@linuxprobe ~|# getenforce 

Permissive 

打开 浏览 器 再 键入 http//127.0.0.1, RR) T ! 


[rootelinuxprobe wwwroot] firefox 
全 Applications Places [ 12 x Web Browser 4 gi Sun17:32  Übroot 


Mozilla Firefox 


The New Web Directory 


果然 是 因为 没有 配置 好 SELinux 服务 ， 再 次 开启 它 吧 : 

[rootelinuxprobe ~|# setenforce 1 

刚刚 浏览 器 里 报错 说 “禁止 ， 你 没有 访问 index.html 文件 的 权限 ”， 那 怎么 开启 SELinux 的 允许 策略 呢 ? 
SELinux 安全 策略 包括 域 和 安全 上 下 文 : 

SELinux 域 :对 进程 资源 进行 限制 (查看 方式 :ps -Z) 

SELinux 安全 上 下 文 :对 系统 资源 进行 限制 (查看 方式 :ls -Z) 

使 用 js -Z “命令 检查 下 新 旧 网 站 数据 目录 的 SELinux 安全 上 下 文 有 何不 同 吧 : 

[rootelinuxprobe ~|# Is -Zd /var/www/html 

drwxr-xr-x. root root system u:object r:httpd sys content t:sO /var/www/html 

[rootelinuxprobe ~|# ls -Zd /home/wwwroot 

drwxrwxrwx. root root unconfined_u:object_r:home_root_t:s0 /home/wwwroot 

SELinux 44 E ToU Bi E s IB e i A SE BEARES, MAEI PL GE ERU RE OU TIAE TE: 

用 户 段 :root 表示 root KP E (9, user u 表示 普通 用 户 身 份 ，system_u 表示 系统 进程 身份 。 

角色 段 :object_r 是 文件 目录 角色 ，system_r 是 一 般 进 程 角色 。 

类 型 段 :进程 和 文件 都 有 一 个 类 型 用 于 限制 存 取 权限 。 

解决 办 法 就 是 将 当前 网 站 目录 " /home/wwwroot ^ 的 安全 LE TFT x f£ k 成 
system_u:object_r:httpd_sys_content_t:s0 就 可 以 啦 ~ 

semanage 命令 用 于 查询 与 修改 SELinux 的 安全 上 下 文 ， 格 式 为 : “semanage [选项 ] [文件 ]”。 


参数 作用 
l 查询 
a 加 
m 修改 
al 删除 
restorecon 命令 用 于 恢复 SELinux 文件 安全 上 下 文 ， 格 式 为 : “restorecon [选项 | [文件 ]”。 
i 忽略 不 存在 的 文件 


e 排除 目录 
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R 递归 处 理 ( 针 对 目录 使 用 ) 
-y 显示 详细 的 过 程 
F 强制 恢复 


修改 网 站 数据 目录 的 安全 上 下 文 : 

[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot 

修改 网 站 数据 的 安全 上 下 文 (* 代 表 所 有 文件 或 目录 ): 

[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot/* 

这 样 操作 后 查看 到 SELinux 安全 上 下 文 依然 没有 改变 ， 不 要 着 急 ， 再 执行 下 restorecon 命令 即 可 : 
[rootelinuxprobe ~|# restorecon -Rv /home/wwwroot/ 

再 来 刷新 浏览 发 后 看 到 正常 页 面 : 

[root&linuxprobe ~|# firefox 


Mozilla Firefox 


Ths New Web Directory 


真 可 谓 是 一 波 三 折 ,， 原本 以 为 将 Apache 服务 配置 妥当 就 大 功 告 成 ， 结 果 却 受到 了 SELinux 安全 上 下 文 的 限制 ， 看 来 
真是 要 细心 才 行 。 


9.7 个 人 用 户主 页 功能 


Apache 服务 程序 中 有 个 默认 未 开启 的 个 人 用 户主 页 功能 ， 能 够 为 所 有 系统 内 的 用 户 生成 个 人 网 站 ， 确 实 很 实用 哦 ~ 
第 1 步 :开启 个 人 用 户主 页 功能 : 

[root@linuxprobe ~|# vim /etc/httpd/conf.d/userdir.conf 

将 第 17 行 的 UserDir disabled 前 加 一 个 #， 代 表 该 行 被 注释 掉 ， 不 再 起 作用 。 

将 第 23 行 的 UserDir public. html 前 的 # 号 去 除 ， 表 示 该 行 被 启用 。 

注意 :UserDir 参数 表示 的 是 需要 在 用 户 家 目录 中 创建 的 网 站 数据 目录 的 名 称 ( 即 public html) 





root@linuxprobe:/home 


File Edit View Search Terminal Help 
8 # of 755, and documents contained therein must be world-readable. 
9 # Otherwise, the client will only receive a "403 Forbidden" message. 


10 # 

11 <IfModule mod_userdir.c> 

12 

13 # UserDir is disabled by default since it can confirm the presence 
14 # of a username on the system (depending on home directory 

15 # permissions). 

16 ES 

17 & UserDir disabled 

18 # 

19 # To enable requests to /-user/ to serve the user's public html 

20 £ directory, remove the "UserDir disabled" line above, and uncomment 
21 # the following line instead: 

22 # 

23 UserDir public_html 

24 </IfModule> 

25 

26 # 

27 # Control access to UserDir directories. The following is an example 
28 # for a site where these directories are restricted to read-only. 

29 # 


30 «Directory "/home/*/public html"» 
23,4 58% 


重启 Apache 服务 程序 : 

[root@linuxprobe ~|# systemctl restart httpd 

第 2 步 :创建 个 人 用 户 网 站 数据 。 

切换 至 普通 会 员 linuxprobe 的 家 目录 : 
[root@linuxprobe homel# su - linuxprobe 

Last login: Fri May 22 13:17:37 CST 2015 on :0 
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创建 网 站 数据 目录 public html: 

[linuxprobeelinuxprobe ~|$ mkdir public html 

写 入 首页 文件 内 容 : 

[linuxprobeelinuxprobe ~|$ echo "This is linuxprobe's website" > public html/index.html 

给 予 网 站 目录 755 的 访问 权限 : 

llinuxprobe@linuxprobe ~|$ chmod -Rf 755 / 

我 们 打开 浏览 如 ， 访 问 地 址 为 ”http://127.0.0.1/~ 用 户 名 “， 不 出 意外 果然 是 报错 页 面 ， 肯 定 是 SELinux KAANE. 


® Applications Places E x Web Browser 


o Urt 


403 Forbidden - Mozilla Firefox 


Forbidden 


第 3 步 :设置 SELinux 允许 策略 。 

这 次 报错 并 不 是 因为 用 户 家 的 网 站 数据 目录 SELinux 安全 上 下 文 没有 设置 了 ， 而 是 因为 SELinux 默认 就 不 允许 
Apache 服务 个 人 用 户主 页 这 项 功能 。 

getsebool 命令 用 于 查询 所 有 SELinux 规则 的 布尔 值 ， 格 式 为 : “getsebool -a”。 

SELinux 策略 布尔 值 :只 有 0/1 两 种 情况 ，0 或 of 为 禁止 ，1 或 on 为 允许 。 

setsebool 命令 用 于 修改 SElinux 策略 内 各 项 规则 的 布尔 值 ， 格 式 为 : “setsebool [选项 ] 布尔 值 =[0|1]”。 


参数 作用 
Pp 永久 生效 


查看 并 搜索 所 有 与 家 目录 有 关 的 SELinux 策略 : 
[rootelinuxprobe ~]# getsebool -a | grep home 
ftp. home dir --> off 
git cgi enable homedirs — off 
git system enable homedirs --» off 
httpd enable homedirs --> off 
mock, enable homedirs --> off 
mpd enable homedirs — off 
openvpn, enable homedirs --> on 
samba, create home dirs --> off 
samba, enable home dirs --» off 
sftpd enable homedirs — off 
sftpd write ssh home --> off 
spamd enable home dirs --> on 
ssh chroot, rw. homedirs — off 
tftp home dir — off 
use ecryptfs home dirs — off 
use fusefs home dirs --> off 
use nfs home dirs --> off 
use samba home dirs — off 
xdm write home --» off 
将 个 人 用 户 网 站 功能 策略 设置 为 允许 : 


[root@linuxprobe ~|# setsebool -P httpd_enable_homedirs=on 
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刷新 浏览 改 访 问 linuxprobe 用 尸 的 个 人 网 站 ， 果 然 成 功 了 : 


^ applications Places Gero wob Browser 4 R suni9si O root 





Mozilla Firefox L 
Fic Edt Vimw History Bookmarks Tools Help 
| bttp://127.0.D 1/- anuypraher |e 


Se |@ 127.0.0.1/-uinuxprose v9 B~ socgoe a bà a 





This is linuxprobe's website 


第 4 步 :增加 密码 安全 验证 。 

有 时 候 并 不 希望 所 有 人 都 可 以 留意 访问 到 自己 的 个 人 网 站 ， 那 就 可 以 使 用 Apache 密码 口令 验证 功能 增加 一 道 安 全 防护 吧 。 
使 用 htpasswd 命令 生成 密码 数据 库 Cc 参数 用 于 第 一 次 生成 ) : 

[rootelinuxprobe ~|# htpasswd -c /etc/httpd/passwd linuxprobe 

New password: 

Re-type new password: 

Adding password for user linuxprobe 

编辑 配置 文件 开局 密码 验证 (其 体 参 数 见 下 图 ): 

[root@linuxprobe ~|# vim /etc/httpd/conf.d/userdir.conf 


root(plinuxprobe:"/Desktop m —— 


File Edit View Search Terminal Help 
€ UserDir disabled 


E 

# To enable requests to /-user/ to serve the user's public html 

# directory, remove the "UserDir disabled" line above, and uncomment 
# the following line instead: 


UserDir public html 
«/IfModule- 


# 

# Control access to UserDir directories. The following is an example 
# for a site where these directories are restricted to read-only. 

# 


«Directory "/home/*/public_html "> 
AllowOverride all 
authuserfile /etc/httpd/passwd 
authname "My privately website" 
authtype basic 
require user linuxprobe 
</Directory> 


:wq! 


9t Applications Places fox Web Browser *"0 R sun22:08 root 





Authentication Required 


sward are beng requested ny hrtp://127.0.0 1. The site says: "My privatel 





y 401 unauthorized - nono Pire- 1/4 © 
如 果 口 令 输入 错误 会 直接 禁止 访问 : 
Unauthorized 


This server could not verify that you are authorized to access the document requested. Fither you supplied the 
wrong credentials (e.g., bad password), or your browser doesn' t understand how to supply the credentials 


required. 


这 里 的 User Name 是 linuxprobe， 密 码 并 非 该 用 户 的 系统 密码 ， 而 是 htpasswd 命令 创建 的 网 站 密码 ， 不 要 搞 混 哦 ~ 


9.8 虚拟 网 站 主机 功能 


Apache 的 虚拟 主机 功能 (Virtual Host) 是 可 以 让 一 台 服 务 妖 基于 IP、 主 机 名 或 端口 号 实现 提供 多 个 网 站 服务 的 技术 。 
虚拟 主机 功能 的 操作 步骤 都 很 简单 ， 但 可 能 比较 难 理解 其 中 的 原理 ， 一 旦 搭建 出 实验 环境 ， 你 就 一 定 会 明白 了 。[ 附 件 ] 
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i H RX 9i (internet) 





9.8.1 基于 IP 地 址 


这 种 情况 很 常见 :一 合 服务 器 拥有 多 个 IP 地 址 ， 当 用 户 访问 不 同 IP 地 址 时 显示 不 同 的 网 站 页 面 
第 1 步 :使 用 nmtui 命 令 为 网 卡 添加 多 个 IP 地 址 (192. 168.10.10/20/30) : 


root(plinuxprobe:"/Desktop BH»? 


File Edit View Search Terminal Help 


Edit connection 


Profile name [gs 36 
Device [UR :AB:AA:AF (enol16777736) 


= ETHERNET «Show» 


IPv4 CONFIGURATION [f : «Hide» 
0/2 «Remove» 
«Remove» 
92 B «Remove» 
"IUE 
Gateway m 
DNS servers <Add. 
op e rs e 


Routing (No custom routes) <Edit...> 
Never use this network for default route 


Require IPv4 addressing for this connection 








重新 启动 网 卡 设备 后 使 用 ping 命令 检查 是 否 配 置 正确 (这 项 很 重要 ， 一 定 要 测试 好 再 进行 下 一 步 |)。 


rootg)linuxprobe:*/Desktop 


File Edit View Search Terminal Help 
[rootülinuxprobe Desktop]£]|systemctl restart network 
inux probe Desktop]f£ ping 192.168.10.10 
68.10.10 (192.168.10.10) 56(84) bytes or cata. 
54 bytes f rom 192.168.10.10: icmp seqzl ttl=64 timez0.062 ms 


-- 192.168.10.10 ping statistics --- 


| pack kets transmitted, 1 rec eiv red, 0% pac ket Ra ss, time Gms 
j f (3 ) ? 


2.10 e 
)) 56(84) pum of data. 
92.168.10.20: icmp seq-1 ttl-54 time=0.104 ms 


192.168.10.20 ping statistics 
l packets transmitted, 1 received, 0% packet loss, time Gms 
23328,5044 max, dev = 0:100/0.102/9 194/9009 ns 


1 por rope T 
G 192. 168.1 0.30 "(19 32.168.18.30) "56 (84) bytes of data. 
64 bytes from 192.168.10.30: icmp seq-1 ttl-64 time=9 .6998 ms 


--- 192.168.10.30 ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Gms 
t min/avg/max/mdev = 8G.098/8.098/0.098/0.000 ms 

[rootülinuxprobe Desktop]£$ 





第 2 步 :分 别 创建 网 站 数据 目录 。 

1€ /home/wwwroot 目录 下 分 别 创建 三 个 网 站 数据 目录 : 

[root@linuxprobe -]* mkdir -p /home/wwwroot/10 

[root@linuxprobe -]* mkdir -p /home/wwwroot/20 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/30 

分 别 在 这 三 个 网 站 数据 目录 中 写 入 主页 文件 ， 内 容 为 该 网 站 的 IP 地 址 : 
[root@linuxprobe ~|# echo "IP:192.168.10.10" > /home/wwwroot/ 10/index.html 
[root@linuxprobe ~|# echo "IP:192.168.10.20" > /home/wwwroot/20/index.html 
[rootelinuxprobe ~|# echo "IP:192.168.10.30" > /home/wwwroot/30/index.html 
第 3 步 :在 配置 文件 中 描述 基于 IP 地 址 的 虚拟 主机 。 

<VirtualHost 192.168.10.10> 

DocumentRoot /home/wwwroot/ 10 

serverName www linuxprobe.com 

«Directory /home/wwwroot/10 » 


AllowOverride None 


7B 171 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
Require all granted 
«/ Directory» 
</VirtualHost> 
<VirtualHost 192.168.10.20> 
DocumentRoot /home/wwwroot/20 
ServerName bbs.linuxprobe.com 
<Directory /home/wwwroot/20 > 
AllowOverride None 
Require all granted 
</Directory> 
</VirtualHost> 
<VirtualHost 192.168.10.30> 
DocumentRoot /home/wwwroot/30 
ServerName tech.linuxprobe.com 
«Directory /home/wwwroot/30 > 
AllowOverride None 
Require all granted 
«/ Directory» 
</VirtualHost> 
第 4 步 :修改 网 站 数据 目录 的 SELinux 安全 上 下 文 。 
需要 分 别 修改 网 站 数据 目录 以 及 网 页 文件 的 SELinux 安全 上 下 文 : 


[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot 


[rootelinuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot/10 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd sys content. t /home/wwwroot/ 10/* 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot/20 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot/20/* 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot/30 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd sys content. t /home/wwwroot/30/* 


立即 恢复 SELinux € ET x: 
[root&linuxprobe ~|# restorecon -Rv /home/wwwroot 
第 5 39 Wi 192.168.10.10/20/30 验证 结果 : 


Mozilla Firefox 








168.10.1 9 Q 
Mozilla Firefox 
E His Bookmarks Tool p 
p://1 58.10 中 
168.10 Q 
Mozilla Firefox 
L Edi His B ks To L 
| 中 
| a 





请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 
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9.8.2 基于 主机 名 


当 服 务 恬 无 法 为 每 个 网 站 都 分 配 到 独立 IP 地 址 时 ， 可 以 试 试 让 Apache 服务 程序 自动 识别 来 源 主 机 名 或 域名 然后 跳 
转 到 指定 的 网 站 。 
第 1 步 :配置 网 卡 IP 地 址 与 hosts 文件 。 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
tr 





5 

e80::20c :29T1T:fTea prefixlen 6 Dod 
ether 00 :0c :29:ab:aa:af tx E aak elen 1000 decns 
RX packets 237 bytes 24767 (24.1 KiB) 
RX errors O dropped O ov ierruns 6 frame 0 
TX packets 350 bytes 307 (30.0 KiB) 
TX errors © dropped © overruns © carrier © collisions 0 

lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 

inet 127.0.0.1 netmask 255. 0.0.0 
inet6 ::1 prefixlen 128 copeid 0x10<host> 


loop txqueuelen © (Lo cal " Loopbac k) 
RX packets 1493 bytes 1387 20 (127.6 KiB) 


RX errors O dropped 0 erruns O frame 0 
TX packets 1493 bytes 130720 (127.6 KiB) 
TX errors © dropped © overruns O carrier © collisions G 


[rootülinuxprobe Desktop]£ B 





hosts 文件 作用 是 定义 IP 地 址 与 主机 名 的 映射 关系 ， 即 强制 将 茶 个 主机 名 地 址 解析 到 指定 的 IP 地址。 
[rootelinuxprobe ~|# vim /etc/hosts 

// 每 行 只 能 写 一 条 ， 格 式 为 P 地 址 + 空格 + 主机 名 (域名 )。 

192.168.10.10 www.linuxprobe.com 

192.168.10.10 bbs.linuxprobe.com 

192.168.10.10 tech.linuxprobe.com 

第 2 步 : 分 别 创建 网 站 数据 目录 : 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/www 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/bbs 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/tech 

分 别 在 网 站 目录 中 写 入 不 同 的 首页 文件 : 

[rootelinuxprobe ~|# echo "WWW. linuxprobe.com" > /home/wwwroot/www/index.html 
[rootelinuxprobe ~|# echo 'BBS.linuxprobe.com' > /home/wwwroot/bbs/index.html 


[rootelinuxprobe ~|# echo "TECH.linuxprobe.com' > /home/wwwroot/tech/index.html 


第 3 步 :在 配置 文件 中 描述 基于 主机 名 称 的 虚拟 主机 。 

编辑 主 配 置 文件 (/etc/httpd/conf/httpd.conf， 在 主 配置 文件 的 末尾 按 下 面 格式 定义 虚拟 主机 信息 : 
<VirtualHost 192.168.10.10> 

DocumentRoot "/home/wwwroot/www"' 

ServerName "www.linuxprobe.com" 

«Directory "/home/wwwroot/wWw'» 

AllowOverride None 

Require all granted 

«/ directory» 


</VirtualHost> 


<VirtualHost 192.168.10.10> 


DocumentRoot "/home/wwwroot/bbs" 
ServerName "bbs.linuxprobe.com" 
«Directory "/home/wwwroot/bbs"» 
AllowOverride None 

Require all granted 

«/ Directory» 

</VirtualHost> 


<VirtualHost 192.168.10.10> 
DocumentRoot "/home/wwwroot/tech" 
ServerName "tech.linuxprobe.com" 
«Directory "/home/wwwroot/tech'» 
AllowOverride None 

Require all granted 

«/ directory» 

</VirtualHost> 
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读者 们 可 以 直接 复制 上 面 的 参数 到 主 配 置 文件 (/etc/httpd/confyhttpd.conf) 的 末尾 然后 重启 apache 网 站 服务 程序 。 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工 作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable httpd “。 

第 4 步 :修改 网 站 数据 目录 的 SELinux 安全 上 下 文 : 


[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot 


[rootelinuxprobe ~|# semanage fcontext 


[root&linuxprobe ~|# semanage fcontext - 


[root&linuxprobe ~|# semanage fcontext - 


[root&linuxprobe ~|# semanage fcontext 


[root&linuxprobe ~|# semanage fcontext - 


[root&linuxprobe ~|# semanage fcontext - 


让 新 的 SELinux 安全 上 下 文 立即 生效 : 


"d 


a 
a 
-A 
a 
a 


-t httpd_sys_content_t /home/wwwroot/www 

-t httpd_sys_content_t /home/wwwroot/www/* 
-t httpd_sys_content_t /home/wwwroot/bbs 

-t httpd_sys_content_t /home/wwwroot/bbs/* 
-t httpd_sys_content_t /home/wwwroot/tech 

-t httpd_sys_content_t /home/wwwroot/tech/* 


[root@linuxprobe ~|# restorecon -Rv /home/wwwroot/ 





第 5 步 :分 别 访 问 网 站 验证 结果 
Mozilla Firefox 
E ks Tools Help 
p linuxprob Red Hat |+ 
Q 
WWW. lin 
Mozilla Firef 
E ks Too lp 
p | Red ‘| 中 


请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 
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我 们 可 以 让 服务 器 开局 多 个 服务 端口 后 ， 然 后 让 用 户 能 够 通过 访问 服务 器 的 指定 端口 来 找到 想 要 的 网 站 。 
第 1 步 :配置 服务 器 的 IP 地 址 : 


root(plinuxprobe:*/Desktop 


File Edit View Search Terminal Help 
[rootalinuxprobe Desktop]£|ifco 
enol16777736: flags-4163«UP M 

n 192.1 





1163«UP , BRO 
68.10.10 


ICASI,RUNNING,MULTICAST» mtu 1 
255.255.255.0 broadcast 192 


aSK < sé 





reTixien o scopei 
en 1000 (Ethernet) 
RX packets 237 bytes 24767 (24.1 KiB) 

RX errors O dropped © overruns O frame 0 

TX packets 350 bytes 30735 (30.0 KiB) 
TX errors © dropped O overruns © carrier © collisions O 


lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid 0x10<host> 
loop txqueuelen © (Local Loopback) 
RX packets 1493 bytes 130720 (127.6 KiB) 
RX errors © dropped © overruns O frame 0 
TX packets 1493 bytes 130720 (127.6 KiB) 
TX errors © dropped O overruns © carrier © collisions € 


[rootglinuxprobe Desktop]£ B 





第 2 步 :分 别 创建 网 站 数据 目录 。 

分 别 创建 端口 为 6111,6222 的 网 站 数据 目录 : 

[rootelinuxprobe ~|# mkdir -p /home/wwwroot/6111 

[rootelinuxprobe ~|# mkdir -p /home/wwwroot/6222 

分 别 在 网 站 数据 目录 中 写 入 不 同 内 容 的 主页 文件 : 

[rootelinuxprobe ~|# echo "port:6111" > /home/wwwroot/61 1 1 /index.html 
[root ]inuxprobe ~]# echo "port:6222' > /home/wwwroot/6222/index.html 

第 3 步 :在 配置 文件 中 描述 基于 端口 号 的 虚拟 主机 。 

编辑 主 配置 文件 Wetc/httpd/conf/httpd.conf， 找 到 约 在 42 行 的 Listen 80， 并 在 下 面 追加 : 
Listen 6111 

Listen 6222 

然后 在 主 配 置 文件 的 末尾 按 下 面 格式 定义 虚拟 主机 信息 : 

<VirtualHost 192.168.10.10:6111> 

DocumentRoot “/home/wwwroot/6111” 

ServerName www.linuxprobe.com 

<Directory "/home/wwwroot/6111" > 

AllowOverride None 

Require all granted 

</Directory> 

</VirtualHost> 

<VirtualHost 192.168.10.10:6222> 

DocumentRoot “/home/wwwroot/6222” 

ServerName bbs.linuxprobe.com 

<Directory "/home/wwwroot/6222" > 

AllowOverride None 

Require all granted 

</Directory> 

</VirtualHost> 

读者 们 可 以 直接 复制 上 面 的 参数 到 主 配 置 文件 (etc/httpd/conf/httpd.conf 的 末尾 然后 重启 apache 网 站 服务 程序 。 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
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所 以 请 读者 在 日 常 工 作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 局 动 项 中 :”systemctl enable httpd “。 
什么 ! 竟 然 报错 了 : 

Job for httpd.service failed. See Systemctl status httpd.service and journalctl -xn for details. 

这 是 因为 SELinux 服务 检测 到 6111 5 6222 端口 原本 并 不 属于 Apache 服务 端口 ， 但 现在 却 被 以 Apache 88.45 AEN T. 
第 4 步 :修改 网 站 数据 目录 的 SELinux 安全 上 下 文 并 允许 端口 监听 。 
修改 网 站 数据 目录 的 安全 上 下 文 : 
[root@linuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot 
[root&linuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot/6111 


[rootelinuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot/6222 


a 
a 

[root&linuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot/6111/* 
a 

[root&linuxprobe ~|# semanage fcontext -a 

让 新 的 SElinux 安全 上 下 文 立即 生效 : 

[root&linuxprobe ~|# restorecon -Rv /home/wwwroot/ 

使 用 semanage 命令 搜索 在 SELinux 系统 中 有 关 http 服务 的 端口 号 : 

[root@linuxprobe ~]# semanage port -l| grep http 

http cache port t tcp 8080, 8118, 8123, 10001-10010 

http. cache port. t udp 3130 

http port t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 


pegasus http port t tcp 5988 


-t httpd, user content, t /home/wwwroot/6222/* 


pegasus https port t tcp 5989 

默认 包括 80,81,443,488,8008,8009,8443,9000 却 没有 咱们 定义 的 端口 号 ， 那 么 添加 进去 就 可 以 了 : 
[root@linuxprobe ~|# semanage port -a -t http port t-p tcp 6111 
[rootelinuxprobe ~|# semanage port -a -t http port t -p tcp 6222 

再 来 看 下 SELinux 的 端口 规则 (已 经 添加 成 功 了 ) : 

[rootelinuxprobe ~]# semanage port -l| grep http 

http. cache port. t tcp 8080, 8118, 8123, 10001-10010 

http. cache port. t udp 3130 

http port ttcp 6222, 6111, 80, 81, 443, 488, 8008, 8009, 8443, 9000 
pegasus http port t tcp 5988 

pegasus https port t tcp 5989 

再 次 尝试 启动 Apache 网 站 服务 程序 就 没有 问题 了 : 

[root@linuxprobe ~|# systemctl restart httpd 


第 5 步 :分 别 访问 网 站 验证 结果 : 


Mozilla Firefox 











Mozilla Firefox 





请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 
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9.9 Apache 的 访问 控制 


我 们 还 可 以 基于 主机 名 、IP 地 址 以 及 客户 端 特征 做 Apache 网 页 资源 的 访问 控制 ， 和 常用 的 指令 有 : 

Order( 排 序 )，Allow( 人 允许 )，Deny( 拒 绝 )，Satisfy( 满 足 )。 

其 中 Order 指令 用 于 定义 Allow 或 Deny 起 作用 的 顺序 ， 分 别 实现 了 允许 或 者 拒绝 某 个 主机 访问 服务 器 网 页 资源 。 
匹配 原则 为 : 按 顺 序 匹 配 规则 并 执行 ， 若 未 匹配 成 功 则 执行 后 面 的 执行 。 

比如 说 ”Order Allow,Deny“ 则 代表 着 先 将 客户 端 与 允许 规则 进行 对 比 , 若 匹 配 成 功 则 允许 访问 , 反之 则 直接 拒绝 。 
创建 网 站 数据 目录 和 首页 文件 : 

[root&localhost ~|# mkdir /var/www/html/server 

[root&localhost ~|# echo "Successful" > /var/www/html/server/index.html 

根据 浏览 器 的 变量 特征 ， 只 允许 下 浏览 器 访问 本 网 站 数据 。 

[root@localhost ~|# vim /etc/httpd/conf/httpd.conf 

// 在 大 约 129 行 的 地 方 添加 参数 . 

«Directory "/var/www/html/server'» 

SetEnvIf User-Agent "Internet Explorer" ie-1 

Order allow,deny 

Allow from env-ie 

保存 配置 文件 后 记得 重启 服务 (systemctl restart httpd)， 然 后 用 Firefox 浏览 器 尝试 访问 网 站 页 面 : 


403 Forbidden - Mozilla Firefox 


Forbidden 


You don't have permission to access /server/ on this server. 


那么 如 果 和 希望 仅 允 许 火 狐 浏 览 器 访问 本 页 面 ， 请 将 配置 文件 修改 为 : 
«Directory "/var/www/html/server" » 

SetEnvIf User-Agent "Firefox" ff-1 

Order allow,deny 

Allow from env-ff 

«/ Directory» 

根据 来 访 源 地 址 ， 仅 限 192.168.10.10 的 主机 访问 本 网 站 。 

此 时 我 们 就 需要 两 人 台 主 机 来 完成 实验 了 ， 请 配置 主机 IP 地 址 后 能 够 互相 通信 。 


主机 名 称 操作 系统 IP 地 址 
本 地 主机 21w RHEL7 操作 系统 192.168.10.10 
远程 主机 2r'"H RHEL7 操作 系统 192.168.10.20 


[root@localhost ~|# vim /etc/httpd/conf/httpd.conf 

// 在 大 约 129 行 的 地 方 添 加 参数 . 

Order allow,deny 

Allow from 192.168.10.20 

保存 配置 文件 后 记得 重启 服务 (Systemctl restart httpd), 4/5 fl Firefox 浏览 器 尝试 访问 网 站 页 面 : 
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403 Forbidden - Mozilla Firefox 
File Edit View History Bookmarks Tools Help 


71403 Forbidden * 
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192.168.10.10 r 图 、 Q 3 í 


Forbidden 


You don't have permission to access /server/ on this server. 


然后 再 使 用 远程 主机 (192.168.10.20) 党 试 访问 页 面 


Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
| http://192.158.10.10/server/ X |{ ] Red Hat x | 4| 


192.168.10.10 图 、 Q 4 


Successful 


， 顺 利 的 成 功 了 : 
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第 10 章 使 用 Vsftpd 服务 传输 文件 。 


章节 人 简 述 : 

本 章节 先 通过 介绍 文件 传输 协议 来 帮助 读者 理解 FTP 协议 的 用 处 ， 安 装 vsftpd 服务 程序 并 逐条 分 析 服 务 文件 的 配置 参数 。 
完整 演示 vsftpd 服务 匿名 访问 模式 、 本 地 用 户 模 式 及 虚拟 用 户 模 式 的 配置 方法 , 介绍 PAM 可 插 拔 式 认 证 模块 的 原理 与 认证 流程 。 
通过 配置 vsftpd 服务 程序 ， 进 一 步 的 锻炼 了 读者 SELinux 服务 策略 、 安 全 上 下 文 以 及 防火 墙 的 配置 与 排 错 能 力 。 


10.1 文件 传输 协议 


文件 传输 协议 (FTP File Transfer ProtocoD)， 即 能 够 让 用 户 在 互联 网 中 上 传 、 下 载 文 件 的 文件 协议 ， 而 FTP 服务 器 
就 是 支持 FTP 传输 协议 的 主机 ， 要 想 完成 文件 传输 则 需要 FTP 服务 端 和 FTP 客户 端的 配合 才 行 。 
通常 用 户 使 用 FTP 客户 端 软 件 向 FTP 服务 器 发 起 连接 并 发 送 FTP 指令 ,服务 器 收 到 用 户 指令 后 将 执行 结果 返回 客户 端 。 


= 数据 资料 


LE 


FTP 客 户 端 FTP 服 务 器 

















FTP 协议 占用 两 个 端口 号 : 
21 端口 :命令 控制 ， 用 于 接收 客户 端 执行 的 FTP 命令。 
20 端口 :数据 传输 ， 用 于 上 上传、 下载 文件 数据 。 
FTP 数据 传输 的 类 型 : 
主动 模式 :FTP 服务 端 主动 向 FTP 客户 端 发 起 连接 请 求 。 
被 动 模式 :FTP 服务 端 等 待 FTP 客户 端的 连接 请 求 。 


10.2 安装 vsftpd 服务 程序 


Vsftpd 即 “Very Secure FTP Daemon ”是 一 款 运行 在 类 Unix 操 作 系 统 的 FTP 服 务 端 程序 ,Vsftpd 主打 的 是 安全 性 、 
完全 开源 及 免费 、 速 率 高 、 支 持 IPv6、 虚 拟 用 户 功能 等 等 其 他 FTP 服务 端 软件 不 具备 的 功能 。 


Linux 
^ySFTP 


安装 vsftpd 服务 程序 包 : 






[root@linuxprobe ~|# yum install vsftpd -y 


Loaded plugins: langpacks, product-id, subscription-manager 


---> Package vsftpd.x86. 64 0:3.0.2-9.el7 will be installed 


--> Finished Dependency Resolution 
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Installed: 

vsftpd.x86_64 0:3.0.2-9.el7 

Complete! 

清空 默认 的 防火 墙 默 认 规 则 : 
[root@linuxprobe ~|# iptables -F 

保存 清空 后 的 防火 墙 规则 表 : 
[root@linuxprobe ~|# service iptables save 


Vsftpd 的 程序 与 配置 文件 : 


主 程序 


用 户 禁 止 登陆 列表 


主 配 置 文件 
先 来 分 析 下 vsftpd 程序 的 主 配 置 文 件 吧 : 


[root@linuxprobe ~|# cat /etc/vsftpd/vsftpd.conf 
主 配 置 文件 长 达 123 行 ， 但 大 部 分 是 以 # 号 开始 的 ， 这 些 都 是 注释 信息 ， 我 们 可 以 过 滤 挥 它们 。 


备份 vsftpd 的 主 配置 文件 : 


HTTP://www.linuxprobe.com 


/usr/sbin/vsftpd 


/etc/vsftpd/ftpusers 
/etc/vsftpd/user list 


/etc/vsftpd/vsftpd.conf 


[rootelinuxprobe ~|# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf bak 
过 滤 掉 所 有 包含 # 号 的 行 ， 并 将 过 滤 结 果 写 回 到 vsftpd.conf 文件 中 : 
[root@linuxprobe ~|# grep -v "#" /etc/vsftpd/vsftpd.conf bak > /etc/vsftpd/vsftpd.conf 


此 时 再 分 析 下 vsftpd 程序 的 主 配置 文件 吧 : 


[rootelinuxprobe ~|# cat /etc/vsftpd/vsftpd.conf 


anonymous enable-YES 
local enablez- YES 

write enablezYES 

local umask-022 
dirmessage enable-YES 
xferlog enablezYES 
connect, from port. 20zYES 
xferlog std format-YES 
listen- NO 

listen ipv6-YES 

pam, service name-vsftpd 
userlist enable YES 

tcp. wrappers-YES 

vsftpd 程序 配置 文件 参数 的 作用 : 


参数 
listen=[YES|NO] 
listen_address=IP 地 址 


listen port-21 


作用 


是 否 以 独立 运行 的 方式 监听 服务 。 


设置 要 监听 的 IP 地 址 。 


设置 FTP 服务 的 监听 端口 。 
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ERE 


download enable- [YES|NO] 


userlist enable-|YES|NO] 
userlist denyz[YES |NO] 


max, clients-O 

max per ip-O 

anonymous enable-[YES |NO] 

anon. upload, enable-[YES|NO] 
anon umask-022 

anon, root-/var/ftp 

anon mkdir write enable-[YES |NO] 
anon other write enable-[YES | NO] 
anon max rate-O 

local enable2[YES |NO] 

local umask-022 

local root-/var/ftp 

chroot, local user-|YES|NO]| 


local. max rate=0 


10.3 Vsftpd 的 验证 方式 


v 


》 


HTTP://www.linuxprobe.com 


A YT Zt. 


是 否 启用 “禁止 登陆 用 户 名 单 ”。 


最 大 客户 端 连接 数 ，0 为 不 限制 。 
同一 IP 地 址 最 大 连接 数 ，0 位 不 限制 。 
是 否 允 许 匿 名 用 户 访问 。 

是 否 允 许 匿名 用 户 上 传 文件 。 

匿名 用 户 上 传 文件 的 umask t. 
匿名 用 户 的 FTP 根 目录 。 

是 否 允 许 匿名 用 户 创 建 目录 。 

是 否 开放 匿名 用 户 其 他 写 入 权限 。 
匿名 用 户 最 大 传输 速率 ( 字 节 )，0 为 不 限制 。 
是 否 允 许 本 地 用 户 登 陆 FTP. 

本 地 用 尸 上 传 文件 的 umask 值 。 


本 地 用 户 的 FIP 根 目录 。 
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是 否 将 用 户 权限 禁 铀 在 FTP 目录， 更 加 的 安全 。 


本 地 用 户 最 大 传输 速率 ( 字 市 )，0 为 不 限制 。 


vsftpd 程序 提供 的 FTP 服务 可 选 认 证 方式 ， 分 别 为 匿名 访问 、 本 地 用 户 和 虚拟 用 户 : 


匿名 访问 :任何 人 无 需 验 证 口令 即 可 登入 FTP 服务 端 。 
本 地 用 户 :使 用 FTP 服务 器 中 的 用 户 、 密 码 信 息 。 


虚拟 用 户 :创建 独立 的 FTP 帐号 资料 。 


顾名思义 匿名 访问 就 是 所 有 人 均 可 随意 登入 FTP 服务 ， 这 样 自然 会 产生 安全 问题 ， 











一 般 用 于 存放 公开 的 数据 。 


而 本 地 用 户 与 虚拟 用 户 则 需要 用 户 提供 帐号 及 口令 后 才能 登入 FTP 服务 ， 更 加 的 安全 ， 而 虚拟 用 户 则 是 最 安全 的 。 
下 面 的 实验 环节 将 使 用 两 台 红 帽 RHEL7 系统 的 主机 ， 读 者 需要 提前 配置 网 卡 的 IP 地 址 等 信息 : 








主机 名 称 操作 系统 


IP 地 址 
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FTP 服务 端 Zr RHEL7 操作 系统 192.168.10.10 
FTP 客户 端 红 幅 RHEL7 操作 系统 192.168.10.20 


10.3.1 匿名 访问 模式 


FTP 匿名 访问 模式 是 比较 不 安全 的 服务 模式 ， 尤 其 在 真实 的 工作 环境 中 千 万 不 要 存放 敏感 的 数据 ， 以 免 泄 露 。 
vsftpd 程序 默认 已 经 允许 匿名 访问 模式 ， 我 们 要 做 的 就 是 开启 匿名 用 户 的 上 传 和 写 入 权限 ， 写 入 下 面 的 参数 : 
[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 


参数 作用 

anonymous_enable=YES 允许 匿名 访问 模式 。 

anon umask-022 匿名 用 户 上 传 文件 的 umask 值 。 
anon, upload enable-YES 允许 匿名 用 户 上 传 文件 

anon mkdir write enable-YES 允许 匿名 用 户 创建 目录 
anon_other_write_enable=YES 允许 匿名 用 户 修改 目录 名 或 删除 目录 


确认 填写 正确 后 保存 并 退出 vsftpd.conf 文件 ， 然 后 重启 vsftpd 服务 程序 并 设置 为 开机 自 启动 。 
[root@linuxprobe ~|# systemctl restart vsftpd 
[root&linuxprobe ~|# systemctl enable vsftpd 
In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service 
因为 在 红 帽 RHCSA, RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable vsftpd “。 
WREE vsftpd 服务 程序 时 没有 报错 ， 此 时 便 可 以 使 用 FTP 客户 机 (192.168.10.20) 尝 试 登入 FTP 服务 了 。 
ftp 命令 用 于 使 用 FTP 服务 ， 格 式 为 : “ftp [参数 ] [FTP 主机 ]”。 
红 帽 RHEL7 系统 中 ftp 命令 默认 没有 安装 ， 请 执行 ”yum install ftp -y“ 即 可 安装 完毕 。 
在 客户 端 尝试 登入 FTP 服务 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): anonymous 
331 Please specify the password. 
Password: ii; El # 


230 Login successful. 
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Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» cd pub 
250 Directory successfully changed. 
ftp» mkdir files 
550 Permission denied. 
上 上 面 操 作 中 已 经 将 防火 墙 规 则 清空 ,在 vsftpd.conf 文 件 中 也 已 经 允许 匿名 用 户 创建 目录 与 写 入 权限 , 3E A RUE TE? 
这 里 建议 读者 先 不 要 往 下 看 ， 思 考 后 用 自己 的 方法 解决 下 这 个 问题 ， 长 期 这 样 你 的 Linux 的 排 错 能 力 一 定 会 练 出 来 的 。 
回想 前 面 的 参数 细节 ， 匿 名 访问 模式 的 FTP 根 目录 为 /var/ftp: 
[rootelinuxprobe ~|# ls -ld /var/ftp/pub 
drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub 


原来 匿名 用 户 的 FTP 根 目录 所 有 者 /组 都 是 root， 所 以 匿名 用 尸 没 有 写 入 权限 ， 那 我 们 将 所 有 者 修改 为 ftp RRE, 
[rootelinuxprobe ~|# chown ftp /var/ftp/pub 
此 时 再 用 ftp 命令 尝试 登入 FTP 服务 并 创建 文件 : 
ftp> mkdir files 
550 Create directory operation failed. 
可 恶 ! 又 报错 了 1 虽然 这 次 报错 代码 还 是 550， 但 前面 提示 权限 拒绝 ， 这 次 是 操作 失败 ， 马 上 想到 是 SELinux MAE i 
查看 所 有 与 ftp 相关 的 SELinux 规则 : 
[rootelinuxprobe ~]# getsebool -a | grep ftp 

ftp home dir --> off 

ftpd anon write -- off 

ftpd. connect. all unreserved --> off 

ftpd. connect. db — off 

ftpd. full access --» off 

ftpd use cifs --> off 

ftpd. use fusefs — off 

ftpd use nfs --> off 

ftpd use passive mode --> off 

httpd can connect. ftp --> off 

httpd enable ftp server — off 

sftpd anon write — off 

sftpd enable homedirs — off 

sftpd full access — off 

sftpd write ssh, home --> off 

tftp anon, write — off 
tftp home dir — off 
设置 SELinux 服务 对 ftp 服务 的 访问 规则 策略 为 允许 。 
[rootelinuxprobe ~|# setsebool -P ftpd full, access-on 
此 时 再 来 创建 文件 或 目录 就 没有 问题 了 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): anonymous 
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331 Please specify the password. 
Password: Rt ii; El # 
230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» cd pub 
250 Directory successfully changed. 
ftp» mkdir files 
257 "/pub/files" created 
ftp» rename files database 
350 Ready for RNTO. 
250 Rename successful. 
ftp» rmdir database 
250 Remove directory operation successful. 
ftp» exit 
221 Goodbye. 
请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 


10.3.2 本 地 用 户 模式 


既然 要 使 用 本 地 用 户 模式 , 而 本 地 用 户 模式 确实 要 比 匿名 访问 模式 更 加 的 安全 , 所 以 本 实验 中 会 关闭 匿名 访问 模式 。 
vsftpd 服务 程序 默认 已 经 允许 本 地 用 户 模 式 ， 我 们 要 做 的 是 添加 设置 本 地 用 户 模 式 权 限 的 参数 : 
[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 


参数 作用 

anonymous_enable=NO 禁止 匿名 访问 模式 。 

local_enable=YES 允许 本 地 用 户 模式 。 

write_enable=YES 设置 可 写 入 权限 。 

local_umask=022 本 地 用 户 模 式 创建 文件 的 umask fi. 

userlist_deny=YES 参数 值 为 YES 即 禁止 名 单 中 的 用 户 ， 参 数值 为 NO 则 代表 仅 允 许 名 单 中 的 用 户 。 
userlist_enable=YES 允许 “禁止 登陆 名 单 ”， 名 单 文件 为 ftpusers 与 user list. 


确认 填写 正确 后 保存 并 退出 vsftpd.conf 文件 ， 然 后 重启 vsftpd 服务 程序 并 设置 为 开机 自 局 动 。 
[root&linuxprobe ~|# systemctl restart vsftpd 

[rootelinuxprobe ~|# systemctl enable vsftpd 

In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service 
因为 在 红 帆 RHCSA, RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable vsftpd ". 
WREE vsftpd 服务 程序 时 没有 报错 ， 此 时 便 可 以 使 用 FTP 客户 机 (192.168.10.20) 尝 试 登入 FTP 服务 了 ~ 
我 们 先 来 看 下 ftpusers 或 user_list 文件 中 禁止 登陆 用 户 名 单 : 


(Linux 3L IZ X A E) 
root 
bin 
daemon 
adm 
Ip 
sync 
shutdown 
halt 
mail 
news 
uucp 
operator 
games 


nobody 


vsftpd 服务 为 了 让 FTP 服务 更 加 的 安全 ， 默 认 禁 止 以 root 身份 登入 ， 那 么 创建 个 普通 用 户 吧 : 


[root@linuxprobe ~|# useradd linuxprobe 
为 linuxprobe 用 户 设 置 密 码 : 
[root@linuxprobe ~|# passwd linuxprobe 
Changing password for user linuxprobe. 
New password: 


Retype new password: 
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passwd: all authentication tokens updated successfully. 


在 客户 端 尝试 登入 FTP 服务 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 
331 Please specify the password. 
Password: 输 入 用 户 的 本 地 密码 

230 Login Successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp» mkdir files 

550 Create directory operation failed. 


有 了 上 面 配置 匿名 访问 模式 的 经 验 ， 这 次 再 遇 到 了 “操作 被 拒绝 ， 应 该 马上 想到 SELinux Y "E. 


查看 所 有 与 ftp 相关 的 SELinux 规则 : 
[rootelinuxprobe ~]# getsebool -a | grep ftp 
ftp home dir --» off 

ftpd anon write --> off 

ftpd. connect. all unreserved — off 

ftpd. connect. db — off 

ftpd. full access --» off 

ftpd use cifs --> off 
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ftpd_use_fusefs --> off 
ftpd use nfs --> off 
ftpd use passive mode --> off 
httpd can connect. ftp --> off 
httpd enable ftp server — off 
sftpd anon write — off 
sftpd enable homedirs — off 
sftpd full access — off 
sftpd write ssh, home --> off 
tftp anon, write — off 
tftp home dir — off 
设置 SELinux 对 FTP 服务 的 规则 为 允许 : 


[rootelinuxprobe ~|# setsebool -P ftpd full access-on 


此 时 再 来 创建 文件 或 目录 就 没有 问题 了 : 
[rootelinuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 
331 Please specify the password. 
Password: 输 入 用 户 本 地 密码 

230 Login Successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp» mkdir files 

257 "/home/linuxprobe/files" created 

ftp» rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp» rmdir database 

250 Remove directory operation successful. 
ftp» exit 

221 Goodbye. 

[/pre] 

请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 


10.3.3 虚拟 用 户 模式 


因为 虚拟 用 户 模式 的 帐号 口令 都 不 是 真实 系统 中 存在 的 ， 所 以 只 要 配置 爱 当 虚拟 用 户 模式 会 比 本 地 用 户 模式 更 加 安 
全 ， 但 是 Vsftpd 服务 配置 虚拟 用 户 模 式 的 操作 步骤 相对 复杂 一 些 ， 有 具体 流程 如 下 : 

第 1 步 :建立 虚拟 FTP 用 户 数 据 库 文件 。 

第 2 步 :创建 FTP 根 目录 及 虚拟 用 户 映射 的 系统 用 户 。 

第 3 步 :建立 支持 虚拟 用 户 的 PAM 认证 文件 。 
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第 4 步 :在 vsftpd.conf 文件 中 添加 支持 配置 。 
第 5 步 : 为 虚拟 用 户 设置 不 同 的 权限 。 
第 6 步 :重启 vsftpd 服务 ， 验 证 实验 效果 。 
第 1 步 :建立 虚拟 FTP 用 户 数 据 库 文件 。 
切换 至 vsftpd 程序 目录 : 
[root@linuxprobe ~|# cd /etc/vsftpd/ 
创建 用 于 生成 FTP 用 户 数 据 库 的 原始 帐号 和 密码 文件 : 
[root@linuxprobe vsftpdj# vim vuser.list 
// 单 数 行为 帐号 ， 双 数 行为 密码 。 
linuxprobe 
pa33wOrd 
blackshield 
pa22wl1rd 
使 用 db load 命令 用 HASH 算法 生成 FTP 用 户 数 据 库 文件 vuser.db: 
[root@linuxprobe vsftpdj# db load -T -t hash -f vuser.list vuser.db 


查看 数据 库 文件 的 类 型 : 

[rootelinuxprobe vsftpdj# file vuser.db 

vuser.db: Berkeley DB (Hash, version 9, native byte-order) 

FTP 用 户 数据 库 内 容 很 敏感 ， 所 以 权限 给 小 一 些 : 
[rootelinuxprobe vsftpdj# chmod 600 vuser.db 

删除 原始 的 帐号 和 和 密码 文件 : 

[root@linuxprobe vsftpdj# rm -f vuser.list 

第 2 步 :创建 FTP 根 目录 及 虚拟 用 户 映 射 的 系统 用 户 。 

创建 用 户 virtual 并 设置 为 不 允许 登陆 系统 并 定义 该 用 尸 的 家 目录 : 
[root@linuxprobe ~|# useradd -d /var/ftproot -s /sbin/nologin virtual 
查看 该 用 尸 的 家 目录 权限 : 

[rootelinuxprobe ~|# Is -ld /var/ftproot/ 

drwx------. 3 virtual virtual 74 Jul 14 17:50 /var/ftproot/ 

为 保证 其 他 用 户 可 以 访问 ， 给 予 rwxr-xr-x 权限 : 

[root@linuxprobe ~|# chmod -Rf 755 /var/ftproot/ 

第 3 步 :建立 支持 虚拟 用 户 的 PAM 认证 文件 : 

[root@linuxprobe ~|# vim /etc/pam.d/vsftpd.vu 

// 参 数 db 用 于 指向 刚刚 生成 的 vuser.db 文件 ， 但 不 要 号 后 级 。 
auth required — pam userdb.so db=/etc/vsftpd/vuser 
account required pam userdb.so db-/etc/vsftpd/vuser 

第 4 步 :在 vsftpd.conf 文件 中 添加 支持 配置 。 

既然 要 使 用 虚拟 用 户 模式 ， 而 虚拟 用 户 模 式 确实 要 比 匿名 访问 模式 更 加 的 安全 ， 配 置 的 同时 也 关闭 匿名 开放 模式 。 
[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 


参数 作用 


anonymous_enable=NO 禁止 匿名 开放 模式 。 
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local_enable=YES NITA PREX, 

guest, enable-YES 开启 虚拟 用 户 模 式 。 

guest_username=virtual 指定 虚拟 用 户 帐号 。 

pam_service_name=vsftpd.vu 指定 pam 文件 。 

allow. writeable chroot-YES 允许 禁 铀 的 FTP 根 目录 可 写 而 不 碟 绝 用 户 登 入 请 求 。 


第 5 步 :为 虚拟 用 户 设置 不 同 的 权限 

现在 不 论 是 linuxprobe 还 是 blackshield 帐户 ， 他 们 的 权限 都 是 相同 的 一 一 默认 不 能 上 传 、 创 建 、 修 改 文件 ， 如 果 希 
望 用 户 blackshield 能 够 完全 的 管理 FIP 内 的 资料 ， 就 需要 让 FTP 程序 支持 独立 的 用 尸 权限 配置 文件 了 : 
指定 用 户 独立 的 权限 配置 文件 存放 的 目录 : 

[rootelinuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 

user config dir-/etc/vsftpd/vusers dir 

创建 用 户 独立 的 权限 配置 文件 存放 的 目录 : 

[root@linuxprobe ~|# mkdir /etc/vsftpd/vusers dir/ 

切换 进入 到 该 目录 中 : 

[root@linuxprobe ~|# cd /etc/vsftpd/vusers_dir/ 

创建 空白 的 linuxprobe 的 配置 文件 : 

[rootelinuxprobe vusers_dir]# touch linuxprobe 

指定 blackshield 用 户 的 具体 权限 : 

[root@linuxprobe vusers. dir| vim blackshield 

anon, upload enable-YES 

anon mkdir write enable-YES 

anon other write enable-YES 

第 6 步 :重启 vsftpd 服务 ， 验 证 实验 效果 。 

确认 填写 正确 后 保存 并 退出 vsftpd.conf 文件 ， 重 局 vsftpd 程序 并 设置 为 开机 后 自动 启用 : 
[root@linuxprobe ~|# systemctl restart vsftpd 

[rootelinuxprobe ~|# systemctl enable vsftpd 

In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable vsftpd“。 
如 果 重 启 vsftpd 并 没有 看 到 报错 ， 此 时 可 使 用 FTP 客户 机 (192.168.10.20) 尝 试 登入 FTP 服务 了 : 
[root@linuxprobe ~|# ftp 192.168.10.10 

Connected to 192.168.10.10 (192.168.10.10). 

220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): blackshield 

331 Please specify the password. 

Password: 此 处 输入 虚拟 用 户 的 密码 

230 Login Successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 


ftp» mkdir files 
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550 Create directory operation failed. 

有 了 上 面 配 置 匿名 访问 模式 和 本 地 用 户 模式 的 经 验 ， 这 次 再 遇 到 了 “操作 被 拒绝 ， 应 该 马上 想到 SELinux RA T'E, 
查看 所 有 与 ftp 相关 的 SELinux 规则 : 
[rootelinuxprobe ~]# getsebool -a | grep ftp 
设置 SELinux 对 FTP 服务 的 规则 为 允许 : 
[rootelinuxprobe ~|# setsebool -P ftpd full, access-on 
此 时 再 来 创建 文件 或 目录 就 没有 问题 了 : 
[rootelinuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): blackshield 

331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 

230 Login Successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp» mkdir files 

257 "/files" created 

ftp» rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp» rmdir database 

250 Remove directory operation successful. 
ftp» exit 

221 Goodbye. 

使 用 linuxprobe 用 户 创建 (肯定 会 报错 ): 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 

331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 

230 Login Successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp» mkdir files 

550 Permission denied. 

ftp» exit 

221 Goodbye. 

有 没有 觉得 很 有 意思 ? 当然 读者 们 在 工作 中 要 学 会 灵活 的 搭配 参数 ， 不 要 完全 按照 实验 操作 而 脱离 客户 需求 。 


10.4 可 插 拔 认证 模块 PAM 


刚刚 在 上 面 Vsftpd 服务 的 虚拟 用 户 模式 中 提 到 到 了 一 个 叫做 PAM 的 东西 ， 现 在 为 大 家 简单 的 介绍 下 PAM, 
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可 播 拔 认证 模块 PAM(Pluggable Authentication Modules) 是 一 种 认证 机 制 ， 通 过 一 些 动态 链接 库 和 统一 的 API 将 系 
统 提 供 的 服务 与 认证 方式 分 开 ， 使 得 系统 管理 员 可 以 根据 需求 灵活 的 调整 服务 程序 的 不 同 认证 方式 。 

通俗 来 讲 PAM 是 一 组 安全 机 制 的 模块 (插件 )， 让 系统 管理 员 可 以 轻易 的 调整 服务 程序 的 认证 方式 ， 此 时 可 以 不 必 对 
应 用 程序 做 任何 的 修改 ， 吻 用 性 很 强 ，PAM 和 采取 了 分 层 设 计 的 思想 一 一 应 用 程序 层 、 应 用 接口 层 、 鉴 别 模块 层 。 





m——————————————————————————————————————————————————— 


应 用 1 应 用 2 应 用 3 | 应 用 程序 层 


—————LL^A^A—-————————————————————————————————————————————————————— 





—————————————M————————————————————M 1 


———————————————————————————————————————————————————————————————————————————————————————————————————— 


PAM API 作为 应 用 程序 层 与 鉴别 模块 层 的 连接 纽带 ， 让 应 用 程序 可 以 根据 需求 灵活 的 在 其 中 插入 所 需 的 鉴别 功能 模 
块 ， 当 应 用 程序 需要 PAM 认证 时 ， 一 般 在 应 用 程序 中 定义 负责 其 认证 的 PAM 配置 文件 ， 真 正 灵活 的 实现 了 认证 功 
能 ， 读 者 不 必 精 通 PAM 模块 ， 也 不 用 对 参数 做 细致 的 讲解 ， 只 需 认 识 PAM 模块 的 重要 目录 : 

/lib/security:pam 认证 模块 。 

/etc/pam.d: 针 对 不 同 服务 而 定义 好 的 pam 配置 文件 。 

例如 vsftpd 程序 就 会 在 其 主 配置 文件 (“/etc/vsftpd/vsftpd.conf ”) 中 写 入 下 面 的 参数 : 

pam, service name-vsftpd 

表示 登陆 FTP 服务 器 时 是 根据 /etc/pam.d/vsftpd 的 文件 内 容 进 行 安 全 认证 的 。 

因为 我 们 平时 不 会 经 常 修改 PAM 配置 文件 ， 而 且 PAM 模块 相对 比较 复杂 ， 所 以 不 在 本 章 中 继续 讲解 ， 读 者 必需 能 
够 理解 刚刚 实验 中 出 现 的 vsftpd.vu 文件 的 作用 以 及 存放 位 置 。 
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第 11 章 使 用 Samba 或 NFS 实现 文件 共享 。 


章节 简 述 : 

本 章节 为 读者 讲述 文件 共享 系统 的 作用 ， 了 解 Samba 与 NFS 服务 程序 的 开发 背景 以 及 用 法 。 

详细 逐条 讲解 Samba 服务 配置 参数 ， 演 示 安 全 共享 文件 的 配置 策 方 法 ， 并 使 用 autofs 服务 程序 自动 挂 载 设备 ， 

学 会 后 即 可 实现 Linux 系统 之 间或 与 Windows 系统 之 间 的 文件 共享 ， 以 及 在 共享 文件 时 如 何 配置 防火 墙 与 SELinux 
策略 规则 。 


11.1 了 解 文件 共享 服务 


早期 网 络 想 要 在 不 同 主机 之 间 共 享 文 件 大 多 要 用 FTP 协议 来 传输 ， 但 FTP 协议 仅 能 做 到 传输 文件 却 不 能 直接 修改 对 
方 主机 的 资料 数据 ， 这 样 确实 不 太 方便 ， 于 是 便 出 现 了 NFS 开源 文件 共享 程序 :NFS(NetworkFile System) 是 一 个 能 够 
将 多 人 台 Linux 的 远程 主机 数据 挂 载 到 本 地 目录 的 服务 ， 属 于 轻 量 级 的 文件 共享 服务 ， 不 支持 Linux 与 Windows 系 
统 间 的 文件 共享 。 





随后 在 1991 年 时 大 学 生 Tridgwell 为 了 解决 Linux 与 Windows 系统 之 间 共 享 文件 的 问题 ， 便 开发 出 了 SMB 协议 与 Samba 服务 程序 。 
SMB(Server Messages Block) 协 议 :实现 局 域 网 内 文件 或 打印 机 等 资源 共享 服务 的 协议 。 

当时 Tridgwell 想 要 注册 SMBServer 这 个 商标 ， 但 却 被 因为 SMB 是 没有 意义 的 字符 被 拒绝 了 ， 经 过 Tridgwell 不 断 

翻 看 词典 ， 终 于 找到 了 一 个 拉丁 舞蹈 的 名 字 一 一 SAMBA， 而 这 个 热情 舞蹈 的 名 字 中 又 恰好 包含 了 SMB(SAMBA)， 于 

是 这 便 是 Samba 程序 名 字 的 由 来 。 

Samba 服务 程序 是 一 款 基 于 SMB 协议 并 由 服务 端 和 客户 端 组 成 的 开源 文件 共享 软件 ， 实 现 了 Linux 与 Windows f 

统 间 的 文件 共享 。 


11.2 Samba 服务 


11.2.1 安装 服务 程序 


通过 安装 Samba 服务 程序 后 细致 的 分 析 其 配置 文件 参数 ， 更 能 够 帮助 读者 们 理解 Samba 服务 的 安全 验证 方式 。 
安装 Samba 服务 软件 包 : 
[root@linuxprobe Desktop|# yum install samba 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
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samba x86. 64 4.1.1-31.el7 rhel7 521K 
EE EE AES d ESI D Re 

Complete! 

浏览 Samba 配置 文件 : 


[rootelinuxprobe ~|# cat/etc/samba/smb.conf 
配置 文件 竟然 有 320 行 ! 有 没有 被 吓 到 ? 其 实 Samba 服务 配置 文件 中 大 部 分 是 注释 信息 ， 我 们 可 以 来 第 选 过 滤 下 : 
备份 原始 的 配置 文件 : 


[root@linuxprobe ~|# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak 


过 滤 掉 无 用 的 内 容 : 

先 使 用 cat 命令 读 入 Smb 配置 文件 后 通过 grep 命令 -V 参数 ( 反 向 选择 ) 去 挥 所 有 注释 信息 ， 然 后 分 别 删 选 掉包 含 # 
号 的 行 (“#”)， 包 含 ;号 的 行 (“;”) 以 及 所 有 的 空白 行 (“^$”)， 最 后 最 后 将 过 滤 后 的 信息 履 盖 写 入 到 
/etc/samba/smb.conf 文件 中 。 


cat /etc/samba/smb.conf.bak | grep -v "#" | grep -v | grep -v "^$" > /etc/samba/smb.conf 
让 我 们 来 看 看 过 滤 后 的 配置 文件 到: 
[global] # 全 局 参数 。 
workgroup = MYGROUP # 工 作 组 名 称 。 


server string = Samba Server Version 96v TRA d AB de R AA 为 显示 SMB 版 本 号 。 


log file = /var/log/samba/log.96m # 定 义 日 志文 件 存放 位 置 与 名 称 ， 参 数 %nm 为 来 访 的 主机 名 。 
max log size = 50 # 和 定义 日 志文 件 最 大 容量 为 50Kb。 
security = user # 安 全 验证 的 方式 ,总 共有 4 种 。 


#share: 来 访 主机 无 需 验 证 口令 ， 更 加 方便 ， 但 安全 性 很 差 。 

#user: 需 由 SMB 服务 验证 来 访 主机 提供 的 口令 后 才 可 建立 访问 ,更 加 的 安全 。 
#server: 使 用 独立 的 远程 主机 验证 来 访 主机 提供 的 口令 (集中 管理 帐号 )。 

#domain: 使 用 PDC 来 完成 验证 

passdb backend = tdbsam # 定 义 用 户 后 全 的 类 型 ， 共 有 3 种 。 
#smbpasswd: 使 用 SMB 服务 的 smbpasswd 命令 给 系统 用 户 设置 SMB 密码 。 

#tdbsam: 创 建 数 据 库 文件 并 使 用 pdbedit 建立 SMB 独立 的 用 户 。 

#ldapsam: 基 于 LDAP 服务 进行 帐户 验证 。 

load printers = yes # 设 置 是 否 当 Samba 服务 启动 时 共享 打印 机 设备 。 


cups options = raw # 打 印 机 的 选项 
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[homes] # 共 享 参 数 
comment = Home Directories # 描 述 信息 
browseable = no # 指 定 共享 是 否 在 “网 上 邻居 ”中 可 见 。 
writable = yes # 定 义 是 否 可 写 入 操作 ， 与 "read only" 相 反 。 
[printers] # 打 印 机 共享 参数 


comment = All Printers 

path = /var/spool/samba # 共 享 文件 的 实际 路 径 (重要 )。 
browseable = no 

guest ok = no # 是 否 所 有 人 可 见 ， 等 同 于 "public" 参 数 。 
writable = no 


printable = yes 


标准 的 Samba 共享 参数 是 这 样 的 : 


参数 作用 

[linuxprobe] 共享 名 称 为 linuxprobe 
comment = Do not arbitrarily modify the database file 警告 用 户 不 要 随意 修改 数据 库 
path = /home/database 共享 文件 夹 在 /home/database 
public = no 关闭 所 有 人 可 见 

writable = yes 允许 写 入 操作 


我 们 将 上 面 的 配置 参数 直接 追加 到 SMB 服务 配置 文件 (/etc/samba/smb.conf 并 重启 SMB 服务 程序 即 可 生效 。 
但 此 时 SMB 服务 默认 的 验证 模式 为 user， 我 们 需要 先 创 建 用 户 数 据 库 后 才 可 以 正常 使 用 ， 现 在 来 学 习 下 如 何 创 建 吧 ~ 


11.2.2 安全 共享 文件 


使 用 Samba 服务 口令 验证 方式 可 以 让 共享 文件 更 加 的 安全 ， 做 到 仅 让 信任 的 用 户 访问 ， 而 且 验 证 过 程 也 很 简单 ， 要 
想 使 用 口令 验证 模式 ， 我 们 需要 先 需 要 创建 Samba 服务 独立 的 数据 库 。 

第 1 步 :检查 当前 是 否 为 user 验证 模式 。 

[root@linuxprobe ~|# cat /etc/samba/smb.conf 


security = user 
passdb backend - tdbsam 


第 2 步 :创建 共享 文件 夹 : 
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[rootelinuxprobe ~|# mkdir /database 

第 3 Jr d COUTE XC fi e 

在 SMB 服务 主 配 置 文件 的 最 下 面 追 加 共享 文件 夹 的 配置 参数 : 
[database] 

comment - Do not arbitrarily modify the database file 

path = /database 

public = no 

writable = yes 

保存 smb.conf 文件 后 重启 启动 SMB 服务 : 


[root@linuxprobe ~|# Systemctl restart smb 


添加 到 开机 局 动 项 : 

[root@linuxprobe ~|# systemctl enable smb 

In -s /usr/lib/systemd/system/smb.service' /etc/systemd/system/multi-user.target.wants/smb.service' 
第 4 步 : WEM Windows 主机 尝试 访问 

读者 按照 下 表 的 IP 地 址 规划 动手 配置 下 Windows 的 网 卡 参数 ， 应 该 都 会 吧 ~ 


主机 名 称 操作 系统 IP 地 址 

Samba 共享 服务 器 红 帽 RHEL7 操作 系统 192.168.10.10 
客户 端 红 帽 RHEL7 操作 系统 192.168.10.20 
客户 端 微软 Windows7 操作 系统 192.168.10.30 





|Æ 192.168.10.10 


月 查看 更 多 结果 
\\192.168.10.10 
"e . o ] 
在 Windows 主机 的 运行 框 中 输入 远程 主机 的 信息 


Windows 无 法 访问 \\192.168.10.10 
请 检查 名 称 的 拼写 。 否 则 ， 网 络 可 能 有 问题 。 要 尝试 识别 并 解决 网 络 问题 ， 请 单 击 “ 诊 断 ”。 











(v) BEBE 诊断 (D) 
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此 时 访问 Samba 服务 报错 

此 时 访问 Samba 服务 是 报错 的 ， 如 果 读 者 已 经 看 完 Apache(httpd) 服 务 程序 的 章节 ， 应 该 还 记得 防火 墙 和 SELinux 规则 吧 。 
第 5 步 :清空 防火 墙 规 则 链 : 

Windows 访问 Samba 主机 提示 报错 ， 我 们 怀疑 是 Iptables 阻止 了 访问 操作 ， 于 是 执行 : 

[rootelinuxprobe ~|# Iptables -F 


[rootelinuxprobe ~|# service iptables save 





因为 Windows 系统 的 缓存 关系 ， 可 能 需要 先 重启 下 Windows 主机 再 党 斌 访问 Samba 共享 。 


V2 










Windows 安全 









输入 网 络 密码 
输入 您 的 密码 来 连接 到 192.168.10.10 





| 
域 : WIN-SNIQ3DUMJHD 


D 登 录 和 失败 : FHEA ERRER. 


[ws ]| ms | 




















Windows 系统 被 要 求 验 证 帐户 口令 

那么 这 个 问题 就 是 出 在 Iptables 防火 墙 的 默认 规则 中 了 ， 所 以 请 对 SELinux 多 一 点 耐心 ， 不 要 直接 关闭 SELinux 
第 6 步 :创建 SMB 服务 独立 的 帐号 。 

现在 Windows 系统 要 求 先 验证 后 才能 访问 共享 ， 而 SMB 服务 配置 文件 中 密码 数据 库 后 合 类 型 为 ”tdbsam“， 所 以 
这 个 帐户 和 口令 是 Samba 服务 的 独立 帐号 信息 ， 我 们 需要 使 用 pdbedit 命令 来 创建 SMB 服务 的 用 户 数据 库 。 
pdbedit 命令 用 于 管理 SMB 服务 的 帐户 信息 数据 库 ， 格 式 为 : “pdbedit [选项 ] 帐户 ”。 


参数 作用 


-a 用 户 名 建立 Samba 用 户 


x 用 户 名 AK Samba 用 户 


T 列 出 用 户 列表 
-Lv 列 出 用 户 详细 信息 的 列表 
创建 系统 用 户 : 


[root@linuxprobe ~|# useradd smbuser 
将 此 系统 用 户 提升 为 SMB 用户: 
[root@linuxprobe ~|# pdbedit -a -u smbuser 
new password: 设 置 SMB 服务 独立 的 密码 


DARE 
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retype new password: 
Unix username: Smbuser 
NT username: 
Account Flags: [U | 
User SID: S-1-5-21-4146456071-3435711857-2069708454-1000 
Primary Group SID: S-1-5-21-4146456071-3435711857-2069708454-513 
Full Name: 
Home Directory: WMinuxprobeNsmbuser 
Homebir Drive: 
Logon Script: 
Profile Path: MinuxprobeNsmbuser profile 
Domain: LINUXPROBE 
Account desc: 
Workstations: 
Munged dial: 
Logon time: O 
Logoff time: Wed, 06 Feb 2036 23:06:39 CST 
Kickoff time: Wed, 06 Feb 2036 23:06:39 CST 
Password last set: Sat, 11 Jul 2015 18:27:04 CST 
Password can change: Sat, 11 Jul 2015 18:27:04 CST 
Password must change: never 
Last bad password : 0 
Bad password count : O 
Logon hours : FFFFFFFFFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFF 
第 7 步 :使 用 Windows 主机 验证 共享 结果 : 
Windows 验证 SMB 服务 口令 








Windows 成 功 访问 SMB 服务 
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i Y 网 次 和 共享 中 心 间 春 远程 打印 机 


omm J database 
Windows 安全 DG i [者 "- ^ 
EE EUM 

输入 网 络 密码 i] 号 二 访问 的 位 秆 

输入 您 的 密码 来 连接 到 :; 192.168.10.10 








x5 
Bus 


€ Si 
i| 图 片 
| | ITTO | 2 es 
A 
| 域 : WIN-SNIQ3DUMJHD 


7 sns 中 ss 

















O 登录 失败 : 未 知 的 用 户 名 或 错误 密码 . a BD 


Ooms | A 




















Windows 进入 共享 目录 失败 
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组 织 v 网 阁 和 共享 宁 心 查看 远程 打印 机 zn 





Windows 无 法 访问 WN192.168.10.10 database 


您 没有 权限 访问 从 192.168.10,.10\database。 洁 与 网 阁 管理 员 联 系 请 求 访问 权限 。 








第 8 步 : 允许 SELinux 规则 

使 用 Windows 主机 访问 Samba 共享 果然 可 以 使 用 smbuser 用 户 登 入 ， 但 对 于 共享 文件 这 么 重要 的 事情 ，SELinux 
一 定 会 强制 管理 ， 刚 刚 没有 受 当 的 配置 好 SELinux， 现 在 果然 又 报错 了 。 

将 共享 目录 的 所 有 者 和 各 所 有 组 设置 为 smbuser 用 户 : 

[root@linuxprobe ~|# chown -Rf smbuser:smbuser /database 

允许 SELinux 对 于 SMB 用 户 共享 家 目录 的 布尔 值 : 

[root@linuxprobe ~|# setsebool -P samba enable home dirs on 

将 共享 目录 的 SELinux 安全 上 下 文 设 置 妥当 : 

[root@linuxprobe ~|# semanage fcontext -a -t samba, share t /database 

使 新 的 安全 上 下 文 立即 生效 : 

[root&linuxprobe ~|# restorecon -Rv /database/ 

第 9 步 : M Windows 主机 验证 共享 结果 

我 们 配置 好 Samba 服务 后 又 陆续 的 调整 好 了 Iptables 防火 墙 与 SELinux 安全 规则 ， 现 在 终于 可 以 正常 的 使 用 共享 了 。 
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使 用 SMB 服务 并 创建 文件 

第 10 步 : 使 用 Linux 主机 验证 共享 结果 

刚刚 好 像 让 读者 产生 了 一 些小 误解 ， Samba 服务 程序 并 不 仅仅 是 能 够 实现 Linux 与 Windows 系统 间 的 文件 共享 ， 还 
可 以 实现 Linux 系统 之 间 的 文件 共享 哦 ， 先 动手 配置 下 客 尸 端 主机 的 IP 地 址 吧 : 


主机 名 称 操作 系统 IP 地 址 

Samba 共享 服务 器 红 帽 RHEL7 操作 系统 192.168.10.10 
客户 端 红 帽 RHEL7 操作 系统 192.168.10.20 
客户 端 微软 Windows7 操作 系统 192.168.10.30 


在 客户 端 安 装 cifs-utils 软件 包 : 
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[root@linuxprobe ~|# yum install -y cifs-utils 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
cifs-utils x86_64 6.2-6.el7 rhel7 83k 
Gne és oes 2r SUA ERE SERE endete 
Complete! 
创建 挂 载 目录 : 


[root@linuxprobe -]* mkdir /database 

在 root 家 目录 创建 认证 文件 (依次 为 SMB 用 户 名 、SMB 用 户 密码 、SMB 共享 域 ) : 

[root@linuxprobe ~|# vim auth.smb 

username-smbuser 

password-redhat 

domain-MYGROUP 

此 文件 太 重 要 了 ， 权 限 应 该 给 小 一 些 : 

[root@linuxprobe ~|# chmod -Rf 600 auth.smb 

配置 其 挂 载 信息 (内 容 依次 为 远程 共享 信息 、 本 地 挂 载 目录 、 文 件 系统 类 型 、 认 证 文件 以 及 开机 自 检 选项 ) : 
[rootelinuxprobe ~|# vim /etc/fstab 

//192.168.10.10/database /database cifs credentials-/root/auth.smb O 0 

使 用 mount 命令 的 -a 参数 挂 载 所 有 在 fstab 文件 中 定义 的 文件 信息 : 

[rootelinuxprobe ~|# mount -a 

成 功 挂 载 Samba 的 共享 目录 (能 够 看 到 共享 文件 了 ): 

[root&linuxprobe ~|# cat /database/Memo.txt 

i can edit it . 

Samba 服务 真 的 是 太 强大 了 ， 不 仅 能 够 实现 Linux 系统 之 间 分 享 数 据 还 能 与 Windows 主机 进行 文件 共享 。 


11.3 NFS 网 络 文件 系统 


NFS(Network Files Systemm) 即 网 络 文件 系统 ，NFS 文件 系统 协议 允许 网 络 中 的 主机 通过 TCP/IP 协议 进行 资源 共享 ， 
NFS 客户 端 可 以 像 使 用 本 地 资源 一 样 读 写 远 端 NFS 服务 端的 资料 ， 需 要 注意 NFS 服务 依赖 于 RPC 服务 与 外 部 通信 ， 

所 以 必需 保证 RPC 服务 能 够 正常 注册 服务 的 端口 信息 才能 正常 使 用 NFS 服务 。 

有 个 学 员 问 过 NFS 是 不 是 need for speed 的 缩写 啊 ? 哈哈 ，NFS 配置 和 使 用 都 是 非常 快捷 ， 所 以 这 么 说 也 是 有 道理 的 。 
红 帽 RHEL7 系统 已 经 默认 安装 NFS 服务 : 

[root@linuxprobe ~|# yum install nfs-utils 

Loaded plugins: langpacks, product-id, subscription-manager 

(1/2): rhel7/group. gz | 134 kB 00:00 

(2/2): rhel7/primary. db | 3.4 MB 00:00 

Package 1:nfs-utils-1.3.0-0.el7.x86 64 already installed and latest version 


Nothing to do 
本 次 的 实验 需要 两 台 Linux 主机 ， 网 络 配置 情况 : 
主机 名 称 操作 系统 IP 地 址 


NFS 服务 端 2r'"H RHEL7 操作 系统 192.168.10.10 


第 199 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


NFS 客户 端 2r'"H RHEL7 操作 系统 192.168.10.20 


第 1 步 :创建 NFS 服务 端的 共享 目录 。 

清空 iptables 默认 的 规则 链 : 

[root@linuxprobe ~|# iptables -F 

保存 清空 后 的 iptables 规则 : 

[root@linuxprobe ~|# service iptables save 

创建 nfsfile 共享 目录 : 

[root@linuxprobe ~|# mkdir /nfsfile 

写 入 一 个 文件 ， 用 于 NES 客户 端 读 取 : 

[root@linuxprobe ~|# echo "welcome to linuxprobe.com" > /nfsfile/readme 
NFS 服务 端 配置 文件 是 ”/etc/exports”， 用 寺 定 义 要 共享 的 目录 以 及 相应 权限 。 
[root@linuxprobe ~|# vim /etc/exports 

// 格 式 为 :共享 目录 的 绝对 路 径 允许 访问 NES 资源 的 客 尸 端 (权限 参数 ) 
/nfsfile 192.168.10.* (rw,sync,root squash) 


NFS 配置 共享 的 参数 有 : 
参数 作用 
ro 只 读 默 认 
rw 读 写 模式 
root_squash 当 NFS 客户 端 使 用 root 用 户 访问 时 ， 映 射 为 NES 服务 端的 匿名 用 户 。 
no_root_squash 当 NFS 客户 端 使 用 root 用 户 访问 时 ， 映 射 为 NFS 服务 端的 root 用 户 。 
all_squash 不 论 NFS 客户 端 使 用 任何 帐户 ， 均 映射 为 NFS 服务 端的 匿名 用 户 。 
sync 同时 将 数据 写 入 到 内 存 与 硬盘 中 ， 保 证 不 丢失 数据 。 
async 优先 将 数据 保存 到 内 存 ， 然 后 再 写 入 硬盘 ， 效 率 更 高 ， 但 可 能 造成 数据 丢失 。 
第 2 步 :启动 NFS 服务 端 


刚刚 讲 到 NFS 服务 是 依赖 于 RPC 服务 的 ， 但 在 红 帽 RHEL7 系统 中 RPC 服务 已 经 默认 运行 (activej 了 ， 所 以 无 需 再 配 
置 RPC 服务 啦 。 

[root@linuxprobe ~|# systemctl status rpcbind 

启动 nfs-server 程序 : 

[root@linuxprobe ~|# systemctl start nfs-server 

设置 NFS 服务 端 为 开机 启动 : 

[root@linuxprobe ~|# systemctl enable nfs-server 

4$ 33: 配置 NFS X P3 

如 果 NFS 客户 端 也 是 红 帽 RHEL7 系统 ， 那 么 软件 包 nfs-utils 一 定 也 是 已 经 默认 安装 ， 直 接 挂 载 共 享 就 可 以 了 。 
showmount 命令 用 于 查询 NFS 服务 端 共享 信息 ， 格 式 为 : “showmount [参数 ] [远程 主机 |”。 


参数 EM 
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-e 显示 NES 服务 端的 共享 列表 
a 显示 本 机 挂 载 NFS 资源 的 情况 


N 显示 版 本 号 


查询 远程 NFS 服务 端 中 可 用 的 共享 资源 : 

[root@linuxprobe ~|# showmount -e 192.168.10.10 

Export list for 192.168.10.10: 

/nfsfile (everyone) 

创建 本 地 挂 载 目录 : 

[root@linuxprobe ~|# mkdir /nfsfile 

[root@linuxprobe ~|# mount -t nfs 192.168.10.10:/nfsfile /nfsfile 

顺利 查看 到 刚刚 写 入 文件 内 容 : 

[root@linuxprobe ~|# cat /nfsfile/readme 

welcome to linuxprobe.com 

如 果 希 望 开机 后 自动 将 NFS 资源 挂 载 到 本 地 ， 那 么 就 可 以 通过 修改 fstab 文件 来 实现 : 

[root@linuxprobe ~|# vim /etc/fstab 

192.168.10.10:/nfsfile /nfsfile nfs defaults O O 

11.4 AutoFs 自动 挂 载 服务 

AutoFs 服务 与 Mount/Umount 命令 不 同 之 处 在 于 它 是 一 种 守护 进程 , 只 有 检测 到 用 户 试图 访问 一 个 尚未 挂 载 的 文件 
系统 时 才 自 动 的 检测 并 挂 载 该 文件 系统 , 换 句 话说 , 将 挂 载 信 息 填 入 /etc/fstab 文件 后 系统 将 在 每 次 开机 时 都 自动 将 
其 挂 载 ， 而 运行 AutoFs 后 则 是 当 用 户 需要 使 用 该 文件 系统 了 才 会 动态 的 挂 载 ， 节 约 网 络 与 系统 资源 。 

模拟 训练 :每 次 进入 /media/iso 目录 时 都 会 自动 挂 载 镜像 。 


xu 操作 系统 IP 地 址 
NFS 服务 端 红 帽 RHEL7 操作 系统 192.168.10.10 
NFS 客户 端 2r'"H RHEL7 操作 系统 192.168.10.20 


安装 autofs 服务 : 


[root@linuxprobe ~|# yum install autofs 


Installing: 

autofs x86. 64 1:5.0.7-40.el7 rhel 550 k 
Installing for dependencies: 

hesiod x86. 64 3.2.1-3.el7 rhel 30 k 


Complete! 


启动 autofs 服务 并 加 入 到 开机 启动 项 中 : 

[root&linuxprobe ~|# systemctl start autofs 

[root&linuxprobe ~|# systemctl enable autofs 

In -s /usr/lib/systemd/system/autofs.service' /etc/systemd/system/multi-user.target.wants/autofs.service' 


修改 autofs 主 配置 文件 〈 格 式 为 : ERER 映射 配置 文件 ) : 


(Linux 束 该 这 么 学 》 
[root@linuxprobe ~|# vim /etc/auto.master 
/media /etc/iso.misc 
编辑 挂 载 配 置 参 数 文件 (映射 文件 ); 
[root@linuxprobe ~|# vim /etc/auto.misc 
iso -fstype-iso9660,ro,nosuid,nodev :/dev/cdrom 
重新 加 载 启动 autofs 服务 : 
[root&linuxprobe ~|# systemctl restart autofs 
进入 自动 挂 载 目录 中 : 
[root@linuxprobe ~|# cd /media/iso 
查看 当前 目录 下 的 文件 : 


[root&linuxprobe iso|# Is 


addons images Packages RPM-GPG-KEY-redhat-release 


EFI isolinux release-notes TRANS.TBL 
EULA LiveOS repodata 
GPL media.repo RPM-GPG-KEY-redhat-beta 


本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 


HTTP://www.linuxprobe.com 
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第 123 使 用 Bind 提供 域名 解析 服务 。 


章节 人 简 述 : 

本 章 市 将 计 您 理解 DNS 服务 程序 的 原理 ， 学 习 正 向 解析 与 反 向 解析 实验 ， 掌 握 DNS 主 服务 器 、 从 服务器、 缓存 服务 发 的 部 署 方法 。 
够 熟练 配置 区 域 信 息 文件 与 区 域 数据 文件 ， 以 及 通过 使 用 分 离 解 析 技 术 让 不 同 来 源 的 用 户 得 到 更 合适 的 解析 结果 。 

DNS 服务 作为 互联 网 的 基础 设施 ， 我 们 还 可 以 配置 BIND 服务 程序 支持 TSIG 安全 加 密 传输 机 制 ， 从 而 保障 解析 数据 不 被 蜗 探 监听 。 








12.1 了 解 域名 解析 服务 


一 般 来 讲 域名 比 IP 地 址 更 加 的 有 含义 、 也 更 容易 记 住 ， 所 以 通常 用 户 更 习惯 输入 域名 来 访问 网 络 中 的 资源 ， 但 是 计 
算 机 主机 在 互联 网 中 只 能 通过 IP 识别 对 方 主机 ， 那 么 就 需要 DNS 域名 解析 服务 了 。 
DNS 域名 解析 服务 (Domain Name System) 是 用 于 解析 域名 与 IP 地 址 对 应 关系 的 服务 ， 功 能 上 可 以 实现 正 向 解析 与 反 向 解析 : 
正 向 解析 :根据 主机 名 (域名 ) 查 找 对 应 的 IP 地 址 。 
反 向 解析 :根据 IP 地 址 查找 对 应 的 主机 名 (域名 )。 
DNS 服务 协议 采用 类 似 目 录 树 的 层次 结构 记录 域名 与 IP 地址 的 映射 对 应 关系 ， 形 成 一 个 分 布 式 的 数据 库 系 统 : [DNS 结构 模 
型 | 
| 


En | en LE 


MAPLE DNS 服务 器 肯定 不 能 满足 全 球 如 此 多 用 户 的 需求 ， 所 以 从 工作 形式 上 又 分 主 服 务 器 、 从 服务 器 和 缓存 服务 器 。 
主 服 务 种 :在 特定 区 域内 具有 唯一 性 、 负 责 维 护 该 区 域内 的 域名 与 TP 地 址 对 应 关系 。 
从 服务 器 :从 主 服 务 器 中 获得 域名 与 TP 地 址 对 应 关系 并 维护 ， 以 防 主 服务 器 宕 机 等 情况 。 
缓存 服务 器 :通过 向 其 他 域名 解析 服务 器 查询 获得 域名 与 P 地 址 对 应 关系 ， 提 高 重复 查询 时 的 效率 。 
这 里 还 需要 简单 了 解 下 ，DNS 查询 时 还 会 分 为 递归 查询 与 迭代 查询 。 
递归 查询 :用 于 客户 机 向 DNS 服务 器 查询 。 
迭代 查询 :用 于 DNS 服务 器 向 其 它 DNS 服务 恬 查 询 。 
互联 网 DNS 访问 模型 一 一 采用 分 布 式 数据 结构 保存 海量 区 域 数据 信息 ， 用 户 从 互联 网 中 查询 过 程 大 致 流程 为 : DNS 查询 流程 图 














12.2 安装 Bind 服务 程序 


伯克利 互联 网 域名 服务 BIND(Berkeley Internet Name Daemon) 是 一 款 全 球 互联 网 使 用 最 广泛 的 能 够 提供 安全 可 靠 、 
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快捷 高 效 的 域名 解析 服务 程序 。 并 且 Bind 服务 程序 还 支持 chroot (change root) 监牢 安全 机 制 ，chroot 机 制 会 限 
制 bind 服务 程序 仅 能 对 自身 配置 文件 进行 操作 ， 从 而 保证 了 整个 服务 器 的 安全 ， 让 既然 如 此 ， 那 么 我 们 也 就 选择 安 
装 bind-chroot "E: 


[root&linuxprobe ~|# yum install bind-chroot 
Complete! 


域名 解析 服务 Bind 的 程序 名 称 巴 做 named， 服 务 程序 的 配置 文件 如 下 : 


主 程 序 /usr/sbin/named 
主 配 置 文件 /etc/named.conf 
区 域 配置 文件 /etc/named.rfc1912.zones 


那么 先 来 分 析 下 主 配置 文件 吧 ( 有 两 处 需要 修改 ， 请 跟着 一 起 操作 .): 
[root@linuxprobe ~|# vim /etc/named.conf 

// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
// See /usr/share/doc/bind"*/sample/ for example named configuration files. 
options 1 

// 将 下 行 中 的 127.0.0.1 修改 为 any， 代 表 允 许 监听 任何 IP 地 址 。 
listen-on port 53 | 127.0.0.1; }; 

listen-on-v6 port 53 1:1; 

directory "/var/named"; 

dump-file "/var/named/data/cache dump.db'"; 

statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
// 将 下 行 中 的 localhost 修改 为 any， 代 表 人 允许 任何 主机 查询 。 
allow-query 1 localhost; }; 

recursion yes; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

/* Path to ISC DLV key */ 

bindkeys-file "/etc/named.iscdlv.key"; 

managed-keys-directory "/var/named/dynamic"; 

pid-file "/run/named/named.pid"; 

session-keyfile "/run/named/session.key"; 

5 

logging 1 

channel default debug 1 

file "data/named.run'; 

severity dynamic; 

, 

i 
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// 此 文件 内 定义 了 全 球 13 台 根 DNS 服务 器 的 IP 地 址 
zone "." IN { 

type hint; 

file "named.ca"; 


上 


// 此 文件 保存 着 正 向 与 反 向 解析 的 区 域 信息 ， 非 常 的 重要 。 

include "/etc/named.rfc1912.zones"; 

include "/etc/named.root.key"; 

当 用 户 访问 一 个 域名 时 (不 考虑 hosts 文件 等 因素 )， 正 和 常情 况 会 向 指定 的 DNS 主机 发 送 递归 查询 请 求 ， 如 果 该 DNS 主机 中 没 
有 该 域名 的 解析 信息 那么 会 不 断 向 上 级 DNS 主机 进行 欠 代 查询 ， 其 中 最 高 等 级 (权威 ) 的 根 DNS 主机 有 13 合 ， 分 别 为 : 

根 DNS 服务 器 IP 地 址 文件 :/var/named/named.ca 


名 称 管理 单位 地 理 位 置 IP 地 址 

A INTERNIC.NET 美国 -弗吉尼亚 州 198.41.0.4 

B 美国 信息 科学 研究 所 美国 -加 利 弗 尼 亚 州 128.9.0.107 

C PSINet 公司 美国 -弗吉尼亚 州 192.33.4.12 

D 马里 兰 大 学 美国 -马里 兰州 128.8.10.90 

E 美国 航空 航天 管理 局 美国 加 利 弗 尼 亚 州 192.203.230.10 

F 因特网 软件 联盟 美国 加 利 弗 尼 亚 州 IOP Se >| 

G 美国 国防 部 网 络 信息 中 心 美国 弗吉尼亚 州 192.112.36.4 

H 美国 陆军 研究 所 美国 -马里 兰州 12969259 

I Autonomica 公司 瑞典 -斯 德 哥 尔 摩 192.36.148.17 

J VeriSign 公司 美国 -弗吉尼亚 州 192.58.128.30 

K RIPE NCC 英国 -伦敦 193.0.14.129 

L IANA 美国 -弗吉尼亚 州 199.7.83.42 

M° WIDE Project 日 本 -东京 2021221533 
12.3 DNS 服务 的 解析 实验 


既然 要 开始 搭建 使 用 DNS 服务 程序 啦 ， 那 么 请 将 系统 的 DNS 地 址 修改 为 本 机 ， 这 样 才能 看 到 实验 效果 哦 。 
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root@linuxprobe:/var/named - | o 


File Edit View Search Terminal Tabs Help 


| | 
| root(QBlinuxprobe:/var/named | root(Qlinuxprobe:/var/named 


Profile name [apt yis 
:QC:29:A AA 


= ETHERNET «Show» 


IPv4 CONFIGURATION «Manual» «Hide» 
Addresses IKPA GIER OR OL <Remove> 


«Add...» i 


Gateway 
DNS servers <Remove> 
> 


< 
Search domains «Add...» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





为 了 避免 经 常 修改 主 配置 文件 named.conf 而 导致 DNS 服务 出 错 ， 所 以 规则 的 区 域 信息 保存 在 了 ”/etc/named.rfc1912.zones 
件 中 ， 这 个 文件 用 于 定义 域名 与 IP 地 址 解析 规则 保存 的 文件 位 置 以 及 区 域 服务 类 型 等 内 容 ， 一 定 要 谨慎 修改 。 
正 向 解析 区 域 文件 格式 : 


zone “linuxprobe.com" IN { = 域名 与 IP 地 址 解析 规则 保存 
type master; xm 的 文件 位 置 


file *linuxprobe.com.zone"; 


allow-update { none; ); 允许 那些 客户 机 动态 更 新 解析 信息 





} 
服务 类 型 可 以 有 三 种 :hint( 根 区 域 )、master( 主 区 域 )、slave( 辅 助 区 域 )。 
反 向 解析 区 域 文件 格式 : 


zone «10.168.192 in-addr.arpa" IN { 


type master; 
file 192.168.10.arpa". 表示 为 192.168.10.0/24 网 段 的 反 向 解析 区 域 


Q 





zone 区 域 中 IP 信息 必需 反 写 (如 上 图 演示 )， 并 且 后 面 要 写 上 ”in-addr.arpa“。 
接 下 来 的 实验 中 会 分 别 对 主 配置 文件 、 区 域 信 息 文 件 与 区 域 数据 文 件 做 修改 ， 当 怀疑 因 配置 参数 而 出 错时 可 执行 
named-checkconf 或 named-checkzone 命令 来 分 别 用 于 检查 主 配 置 与 区 域 数 据 文 件 中 语法 或 参数 的 错误 。 


12.3.1 正 向 解析 实验 


第 1 步 :配置 区 域 数 据 信 息 。 
正 向 解析 的 作用 是 根据 主机 名 (域名 ) 查 找到 对 应 的 IP 地 址 ， 区 域 文 件 中 已 有 一 些 默 认 信息 ， 可 不 必 理 会 ， 直 接 在 下 面 追加 即 可 : 
[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com' IN { 
type master; 
file "linuxprobe.com.zone"; 
allow-update (none;j; 
j 
第 2 步 : 配置 解析 数据 信息 : 
我 们 可 以 直接 复制 正 向 解析 模板 文件 /var/named/named.localhost“， 填 写 信息 后 即 可 直接 使 用 。 
切换 工作 目录 到 bind(named) AH BE X: 
[rootelinuxprobe ~|# cd /var/named/ 
查看 区 域 数据 文件 的 权限 : 


[root@linuxprobe named|# ls -al named.localhost 


~ 
~ 
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-rW-r--—-. 1 root named 152 Jun 21 2007 named.localhost 

执行 cp 命令 时 加 入 -a， 代 表 和 连通 复制 原来 文件 的 属性 、 所 有 者 、 组 等 信息 : 
[rootelinuxprobe named|# cp -a named.localhost linuxprobe.com.zone 
编辑 linuxprobe.com 域名 的 区 域 数 据 文件 : 

[root@linuxprobe named|# vim linuxprobe.com.zone 

重启 named 服务 让 配置 文件 立即 生效 : 


[root@linuxprobe named|# systemctl restart named 


$TILID  ££45HÀD 1X 
@ IN SOA linuxprobe.com. root.linuxprobe.com. ( 
# 授 权 信息 开始 : #DNS 区 域 的 地 址 “# 域 名 管理 员 的 邮箱 (不 要 用 @ 符 号 ) 
O:serial # 更 新 序列 号 
1 D;refresh # 更 新 时 间 
1 H;retry # 重 试 延 时 
1 W;expire # 失 效 时 间 


3H;minimum  # 无 效 解析 记录 的 缓存 


时 间 

NS ns.linuxprobe.com. # 域 名 服务 发 记录 
ns IN A 192.168.10.10 # 地 址 记录 (ns.linuxprobe.com) 

IN MX 10 mail.linuxprobe.com. # 邮 箱 交 换 记录 
mail IN A 192.168.10.10 # 地 址 记录 (mail.linuxprobe.com.,) 
WWW INA 192.168.10.10 # 地 址 记录 (www.linuxprobe.com 
bbs IN A 192.168.10.20 # 地 址 记录 (bbs.linuxprobe.com ) 

第 3 步 : 检 验 解 析 结 果 。 


nslookup 命令 用 于 检测 能 否 从 网 络 DNS 服务 器 中 查询 到 域名 与 IP 地 址 的 解析 记录 ， 检 测 named 服务 的 解析 能 否 成 功 。 
此 为 查询 DNS 服务 器 的 信息 : 

[root@linuxprobe ~|# nslookup 

> Www.linuxprobe.com 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

顺利 的 将 域名 的 对 应 IP 地 址 解析 出 来 了 : 

Name: www.linuxprobe.com 

Address: 192.168.10.10 


> bbs.linuxprobe.com 
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Server: 127.0.0.1 
Address: 127.0.0.1#53 
Name: bbs.linuxprobe.com 
Address: 192.168.10.20 
> mail.linuxprobe.com 
server: 127.0.0.1 

Address: 127.0.0.1#53 
Name: mail.linuxprobe.com 
Address: 192.168.10.10 
» nslinuxprobe.com 
server: 127.0.0.1 

Address: 127.0.0.1#53 
Name: ns.linuxprobe.com 
Address: 192.168.10.10 


12.3.2. 反 向 解析 实验 


反 向 解析 的 作用 是 根据 IP 地 址 查找 到 对 应 的 主机 名 (域名 )， 在 区 域 文件 named.rfc1912.zones) 中 默认 已 存在 一 些 


注释 内 容 与 区 域 信息 ， 可 不 需要 删除 上 面 实 验 及 默认 区 域 信息 ， 直 接 在 下 面 追 加 即 可 。 
第 1 步 : 配置 区 域 数 据 信 息 。 

[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 

zone "10.168.192.in-addr.arpa" IN { 

type master; 

file *192.168.10.arpa"; 

D^ 
第 2 步 : 配置 解析 数据 信息 。 

反 向 解析 数据 文件 模版 为 :”/var/named/named.loopback“， 我 们 可 复制 并 填写 信息 后 即 可 直接 使 用 : 
[root@linuxprobe named|# cp -a named.loopback 192.168.10.arpa 

编辑 192.168.10.0/24 网 段 的 数据 文件 : 

[root@linuxprobe namedj# vim 192.168.10.arpa 


Bll 
@ IN SOA linuxprobe.com. root.linuxprobe.com. ( 
O;serial 
1 D;refresh 
1 H;retry 
1 W;expire 


3H);minimum 
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NS ns.linuxprobe.com. 
ns A 192.168.10.10 
10 PTR ns.linuxprobe.com. #PTR 为 指针 记录 ， 仅 用 于 反 向 解析 中 。 
10 PTR mail.linuxprobe.com. 
10 PTR www. linuxprobe.com. 
20 PTR bbs.linuxprobe.com. 







www.linuxprobe.com. 
bbs.linuxprobe.com. 


在 192.168.10.in-addr.arpa 反 向 区 域 数 据 文件 中 ， 则 对 应 为 192.168.10.20 的 IP 地 址 


第 3 步 :检验 解析 结果 。 
重启 named 服务 程序 ， 让 配置 文件 立即 生效 : 
[root@linuxprobe ~|# systemctl restart named 
执行 nslookup 命令 检查 反 向 解析 结果 : 
[root@linuxprobe ~|# nslookup 
> 192.168.10.10 
Server: 127.0.0.1 
Address: 127.0.0.1#53 
10.10.168.192.in-addr.arpa name = ns.linuxprobe.com. 
10.10.168.192.in-addr.arpa name = www.linuxprobe.com. 


10.10.168.192.in-addr.arpa name = mail.linuxprobe.com. 


> 192.168.10.20 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

20.10.168.192.in-addr.arpa name = bbs.linuxprobe.com. 


12.4 35 M CAS 8 


真实 网 络 环境 中 一 合 主 服 务 器 往往 不 能 满足 所 有 用 户 的 需求 ，” 从 服务 器 ”可 以 从 主 服 务 器 上 抓 取 指定 的 区 域 数 据 
文件 ， 起 到 备份 解析 记录 与 负载 均衡 的 作用 ， 配 置 过 程 大 致 流程 : 

1: 在 主 服 务 器 的 区 域 信 息 文件 中 允许 该 从 服务 器 的 更 新 请 求 ， 并 重新 加 载 配置 文件 。 

2: 在 从 服务 器 中 填写 主 服 务 器 地 址 与 要 抓 取 的 区 域 信息 ， 并 重新 加 载 配置 文件 。 

3: 在 从 服务 器 中 查看 /var/named/slaves 目录 或 使 用 nslookup 验证 试验 结果 。 

试验 环境 中 主机 名 称 与 IP 地 址 (两 台 ) 


主机 名 称 操作 系统 IP 地 址 
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主 服 务 器 2r "B RHEL7 操作 系统 192.168.10.10 
NIE AS 2r'"H RHEL7 操作 系统 192.168.10.20 


第 1 步 :修改 主 服 务 器 中 区 域 信 息 文 件 : 

allow-update { 允许 更 新 区 域 信息 的 主机 地 址 ;): 
[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com' IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update { 192.168.10.20; j; 

5 


zone "10.168.192. in-addr.arpa' IN 1 

type master; 

file *192.168.10.arpa"; 

allow-update { 192.168.10.20; j; 

重启 named 服务 程序 ， 让 配置 文件 立即 生效 : 


[root@linuxprobe ~|# systemctl restart named 


第 2 步 :修改 从 服务 器 中 的 区 域 信息 文件 。 

必须 将 主 配置 文件 ”/etc/named.conf“ 中 的 监听 地 址 与 允许 查询 地 址 修改 为 any， 另 外 在 区 域 文件 
(named.rfc1912.zones) 中 默认 已 存在 一 些 注释 内 容 与 区 域 信息 ， 可 不 必 理 会 ， 只 需 将 新 的 区 域 信息 写 到 后 面 即 可 : 
[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 

zone "linuxprobe.com' IN { 

// 请 注意 服务 类 型 必需 是 slave， 而 不 能 是 master. 

type slave; 

// 指 定 主 DNS 服务 器 的 IP 地 址 。 

masters { 192.168.10.10; y 

// 此 为 缓存 到 区 域 文件 后 保存 的 位 置 和 名 称 。 

file "slaves/linuxprobe.com.zone"; 

5 

zone "10.168.192. in-addr.arpa' IN { 

type slave; 

masters { 192.168.10.10; 上 

file 'slaves/192.168.10.arpa"; 

5 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable named “。 
第 3 步 :验证 试验 成 果 〔 请 确认 DNS 地 址 为 192.168.10.20)。 

重启 named 服务 程序 ， 让 配置 文件 立即 生效 : 

[root@localhost named|# systemctl restart named 

当前 已 经 在 named 服务 的 数据 文件 目录 了 : 

[root@localhost named|# pwd 


/var/named 
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果然 在 slaves 目录 中 出 现 了 主 服务 器 中 的 区 域 文件 : 
[root&localhost named|# ls slaves/ 
192.168.10.arpa linuxprobe.com.zone 
fE nslookup 命令 看 看 解析 能 否 成 功 吧 : 
[root@localhost named]|4 nslookup 
> www. .linuxprobe.com 
Server: 192.168.10.20 
Address: 192.168.10.20#53 
Name: www.linuxprobe.com 
Address: 192.168.10.10 


> 192.168.10.10 

Server: 192.168.10.20 

Address: 192.168.10.20#53 

10.10.168.192.in-addr.arpa name = www.linuxprobe.com. 
10.10.168.192.in-addr.arpa name = ns.linuxprobe.com. 


10.10.168.192.in-addr.arpa name = mail.linuxprobe.com. 


12.5 安全 的 加 密 传 输 


DNS 服务 是 互联 网 的 基础 建设 设施 ， 几 乎 所 有 的 网 络 应 用 都 依赖 于 DNS 服务 做 出 的 查询 结果 ， 如 果 互 联网 中 的 DNS 
服务 不 能 正常 提供 解析 服务 ， 那 么 即使 Web 或 Email 服务 都 运行 正常 ， 也 无 法 让 用 户 顺 利 使 用 到 它们 了 。 

13 台 根 DNS 服务 器 以 及 互联 网 中 的 DNS 服务 器 绝 大 多 数 (超过 9590 € F BIND 服务 程序 搭建 的 ，BIND 服务 程序 
为 了 能 够 安全 的 提供 解析 服务 而 支持 了 TSIG(TSIGRFC 2845) 加 密 机 制 ，TSIG 主要 是 利用 密码 编码 方式 保护 区 域 信 
息 的 传送 (Zone Transfer)， 也 就 是 说 保证 了 DNS 服务 器 之 间 传 送 区 域 信 息 的 安全 。 

TSIG 仅 有 一 组 密码 ， 而 不 区 分 公 / 私 铀 ， 所 以 一 般 只 会 分 配给 可 信任 的 从 服务 恬 。 

本 实验 基于 上 面 的 主 服 务必 与 从 服务 器 的 配置 ， 请 读者 自行 准备 DNS 实验 环境 ，IP 地 址 要 求 如 下 : 








主机 名 称 操作 系统 IP 地 址 
主 服 务 器 红 帆 RHEL7 操作 系统 192.168.10.10 
从 服务 器 红 帆 RHEL7 操作 系统 192.168.10.20 


书 接 上 章 ， 重 新 启动 named 服务 后 可 以 看 到 slaves 目录 中 出 现 区 域 数 据 文件 。 
[root@linuxprobe ~|# systemctl restart named 

[root&linuxprobe ~|# Is -al /var/named/slaves/ 

total 12 

drwxrwx---. 2 named named 54 Jun 7 16:02 . 

drwxr-x---. 6 root named 4096 Jun 7 15:58 . 

-rW-r-r--. | named named 432 Jun 7 16:02 192.168.10.arpa 


-rW-r-r--. | named named 439 Jun 7 16:02 linuxprobe.com.zone 
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第 13: EERIE PER EH 
dnssec-keygen 命令 用 于 生成 安全 的 DNS HA 98544, AX: ”dnssec-keygen [参数 ] “。 


参数 — TER 

E 指定 加 密 算法 (包括 :RSAMD5 (RSA) RSASHA1,. DSA, NSEC3RSASHA1, NSEC3DSA 等 ) 
密 钥 长 度 (HMAC-MD5 长 度 在 1-512 位 之 间 ) 

RT 密 钥 的 类 型 (HOST 为 与 主机 相关 的 ) 


密 钥 参数 : 128 位 HMAC-MD5 算法 ， 主 机 名 称 叫 做 master-slave. 
[rootelinuxprobe ~|# dnssec-keygen -a HMAC-MDS5 -b 128 -n HOST master-slave 
Kmaster-slave.+157+46845 

查看 下 生成 出 的 密 钥 文件 (依次 为 公 钥 与 密 钥 ) : 

[root@linuxprobe ~|# Is -al Kmaster-slave.«157446845.* 

-TW------- . 1 root root 56 Jun 7 16:06 kmaster-slave.+157+46845.key 
-TW------- . 1 root root 165 Jun 7 16:06 Kmaster-slave.+157+46845.private 
查看 私 钥 内 容 〈 把 Key 的 值 记 录 下 来 ) 

[root@linuxprobe ~|# cat Kmaster-slave.+ 1 57+46845.private 
Private-key-format: v1.3 

Algorithm: 157 (HMAC_MD5) 

Key: IXEELStGbDNLOw- 1 WHfE3Q-- 

Bits: AAA- 

Created: 20150607080621 

Publish: 20150607080621 

Activate: 20150607080621 

第 2 步 : 在 主 服 务 器 上 创建 密 钥 验证 文件 : 

[root@linuxprobe ~|# vim /var/named/chroot/etc/transfer.key 

// 依 次 为 密 钥 名 称 、 密 钥 加 密 类 型 以 及 私 铀 的 Key 值 。 

key "master-slave" { 

algorithm hmac-md5; 

secret "IXEEL3tG5DNLOw- 1 WHfE3Q--" 

上 

设置 transfer.key 文件 的 所 有 者 和 组 : 

[root@linuxprobe ~|# chown root.named /var/named/chroot/etc/transfer.key 
为 了 更 加 的 安全 ， 设 置 权限 为 640 (Crw-T 一 一 ): 

[root@linuxprobe ~|# chmod 640 /var/named/chroot/etc/transfer.key 
将 密 钥 文件 做 看 链接 到 /etc 目录 中 : 

[root@linuxprobe -]f In /var/named/chroot/etc/transfer.key /etc/transfer.key 
第 33k: 开局 主 服 务 器 的 密 钥 验 证 功能 。 

开局 密 钥 验证 功能 〈 修 改 如 下 图 ) : 


[rootelinuxprobe ~|# vim /etc/named.conf 
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root@linuxprobe:~/Desktop 
File Edit View Search Terminal Tabs Help 
| | : 
| root(ilinuxprobe:-/Desktop | root(Qlinuxprobe:-/Desktop 
// 
// named.conf 


// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 


See /usr/share/doc/bind*/sample/ for example named configuration files. 


include "/etc/transfer.key"; 





listen-on port 53 ( any; }; 

listen-on-v6 port 53 ( ::1; }; 

directory "/var/named" ; 

dump -file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-gue[ anv: rl. 

allow-transfer ( key master-slave; ); 
/ 





- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs 
- If you are building a RECURSIVE (caching) DNS server, you need to ena 


第 4 步 : 验证 试验 成 果 (无 法 获得 区 域 数据 信息 了 )。 
将 从 服务 器 之 前 获取 到 的 区 域 数 据 文件 都 删除 掉 : 
[root&linuxprobe ~|# rm -rf /var/named/slaves/* 
重新 启动 named 服务 程序 : 

[root@linuxprobe ~|# systemctl restart named 
果然 此 时 已 经 无 法 获取 到 区 域 数 据 文件 了 : 
[root@linuxprobe ~|# Is -al /var/named/slaves/ 
total 4 

drwxrwx---. 2 named named 6 Jun 7 17:17 . 
drwxr-x---. 6 root named 4096 Jun 7 15:58 . 

第 5 2E :BC LUI AE dS HERE UE, 

先 将 密 钥 文件 从 主 服务 器 中 传送 到 从 服务 器 : 
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[root@linuxprobe ~|# scp /var/named/chroot/etc/transfer.key roote 192.168.10.20:/var/named/chroot/etc 


The authenticity of host '192.168.10.20 (192.168.10.20)' can't be established. 
ECDSA key fingerprint is 4£a7:91:9e:8d:6£Fb9:48:02:32:61:95:48:ed:1e:3f. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.10.20' (ECDSA) to the list of known hosts. 
root? 192.168.10.20's password: 此 处 输入 对 方 主机 的 root 用 户 密码 。 
transfer.key 10096 81 O.1KB/s 00:00 

进入 到 从 服务 器 的 named 服务 的 数据 目录 中 : 

[rootelinuxprobe ~|# cd /var/named/chroot/etc 

查看 下 刚刚 transfer.key 有 没有 成 功 传送 过 来 : 

[root@localhost etc|# Is -al transfer.key 

-rW-r-—--. 1 root root 81 Jun 7 17:20 transfer.key 

修改 文件 的 所 有 者 和 所 有 组 : 

[root@localhost etc|# chown root:named transfer.key 

创建 文件 链接 : 

[root@localhost etc|# In transfer.key /etc/transfer.key 

编辑 主 配置 文件 设置 支持 密 钢 验 证 〈《 有 两 处 配置 ， 请 看 下 图 )。 


[root&localhost etc|# vim /etc/named.conf 
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root@Llocalhost:/var/named/chroot/etc - | 口 


File Edit View Search Terminal Help 


/ 
// named.conf 


// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
// 

// See /usr/share/doc/bind*/sample/ for example named configuration files. 





listen-on port 53 ( any; }; 

listen-on-v6 port 53 ( ::1; }; 

directory "/var/named"; 

dump -file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query { any; }; 


/* 


- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs 


ion. 


- If you are building a RECURSIVE (caching) DNS server, you need to ena 
ble 
"/etc/named.conf" 58L, 1598C written 9,28 Top 


请 先 不 要 着 急 退 出 山 请 在 大 约 43 行 部 分 追加 以 下 内 容 : 
server RAA IP Hak { 
keys { 密 钥 名 称 六 
}; 


root@Llocalhost:/var/named/chroot/etc - 口 
File Edit View Search Terminal Help 
bindkeys-file "/etc/named.iscdlv.key"; 


managed-keys-directory "/var/named/dynamic"; 


pid-file "/run/named/named.pid"; 
session-keyfile "/run/named/session.key"; 


}; 
server 192.168.10.10{ 
keys { master-slave; }; 


)B 
logging ( 
channel default debug { 
file "data/named.run"; 
severity dynamic; 
}; 
}; 
zone "." IN ( 
type hint; 
file "named.ca"; 
i 
"/etc/named.conf" 61L, 1648C written 45,2 92% 


因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable named “。 
第 6 步 :验证 试验 成 果 ( 成 功 获 取 区 域 数据 信息 )。 

重新 启动 从 服务 器 的 named 服务 程序 : 

[root&linuxprobe ~|# Systemctl restart named 

果然 又 在 slaves 目录 中 看 到 了 区 域 数 据 文件 了 : 

[root@linuxprobe ~|# ls -al /var/named/slaves/ 

total 12 

drwxrwx---. 2 named named 54 Jun 7 17:29 . 

drwxr-x---. 6 root named 4096 Jun 7 15:58 .. 

-rw-r-r--. | named named 432 Jun 7 17:29 192.168.10.arpa 


-rW-r-r--. | named named 439 Jun 7 17:29 linuxprobe.com.zone 


12.6 E AE CAR de 


缓存 服务 器 (Caching DNS ServenD) 是 一 种 不 负责 域名 数据 维护 ， 也 不 负责 域名 解析 的 DNS 服务 类 型 ， 缓 存 服务 器 是 
将 用 户 经 常 使 用 到 得 域名 与 IP 地 址 解析 记录 保存 在 主机 本 地 中 ， 提 升 下 次 解析 的 效率 ， 所 以 一 般 用 于 对 高 品质 上 网 
有 需求 的 内 网 之 中 ， 配 置 流程 为 : 

第 1 步 :配置 系统 的 双 网 卡 参 数 。 

第 2 步 :在 主 配置 文件 中 添加 缓存 转发 参数 。 
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第 3 步 :重启 DNS 服务 后 验证 成 果 。 
试验 环境 中 主机 名 称 与 IP 地 址 (两 全 ) 


主机 名 称 操作 系统 IP 地 址 
缓存 服务 器 红 帽 RHEL7 操作 系统 网 卡 (外 网 ): 根 据 实际 情况 DHCP 或 手工 指定 IP 地 址 与 网 关 等 信息 。 
网 卡 (内 网 ):192.168.10.10 


客户 端 红 帆 RHEL7 操作 系统 192.168.10.20 


第 1 步 :配置 系统 的 双 网 卡 参数 。 

如 前 面 介 绍 的 缓存 服务 器 一 般 用 于 企业 内 网 中 ， 起 到 减少 内 网 用 己 查 询 DNS 的 消耗 ， 那 么 为 了 更 加 的 贴近 实际 网 络 
环境 、 实 现 外 网 查询 功能 ， 需 要 为 缓存 服务 器 中 再 添加 一 块 网 卡 。 

第 1 步 : 点 击 “ 编 辑 庶 拟 机 设置 。 
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第 23: 添加 新 的 设备 一 一 “网 络 适配器 ” 
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第 4 步 : 将 原先 第 一 块 网 卡 美 型 修改 为 “桥接 模式 " 
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使 用 nmtui 工具 将 第 1 块 网 卡 的 IP 地 址 方法 修改 为 dhcp 模式 (请 读者 根据 实际 上 网 环境 来 设置 ): 


root()linuxprobe:^/Desktop = X| 
File Edit View Search Terminal Help 





Profile name Bat 
Device | 


= ETHERNET 


- IPv4 CONFIGURATION «Automatic» 
= [Pv6 CONFIGURATION «Automatic» 


[ ] Automatically connect 
[X] Available to all users 








新 添加 的 网 卡 (第 2 块 ) 在 nmtui 工具 列表 中 还 没有 显示 ， 需 要 聪明 的 读者 们 动手 添加 下 : 
第 1 步 : 添加 一 块 新 的 网 卡 设备 。 


File Edit View Search Terminal Help 


Ethernet ERE 
IE 
«Edit...» 


«Delete» 


«Quit» 








5 2: 选择 网 络 链接 类 型 。 
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File Edit View Search Terminal Help 





9 3 步 : 填写 网 络 名 称 与 IP 地 址 等 信息 


File Edit View Search Terminal Help 


Profile name < : 
| Device B 1984 


| nuu a LE 
ETHERNET 


| y IPv4 CONFIGURATION [sanus 
| | |. Ad sses 


Add osses j 











第 4 步 : 看 到 添加 成 功 后 退出 即 可 。 


File Edit View Search Terminal Help 








第 5 步 : 点 击 “ 激 活 一 个 网 络 链接 。 


File Edit View Search Terminal Help 
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第 6 步 : 激活 后 退出 ， 再 次 查看 网 卡 信息 。 


File Edit View Search Terminal Help 


Ethernet (enol6777736) t 
| en016777736 J 
Ethernet omn 
* eno33554 

' 








À 各 位 读者 配置 成 功 后 网 卡 应 该 都 会 显示 出 正确 的 IP 3a SS : 


root@linuxprobe:~/Desktop ka n x| 





File Edit View Search Terminal Help 
[rootàülinuxprobe Desktop]# ifconfig 
enol6777736: flags-4163«UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
inet 192.168.1.104 netmask 255.255.255.0 broadcast 192.168.1.255 
inet6 fe80::20c:29ff:feab:aaaf prefixlen 64 scopeid 0x20«link» 
ether 00:0c:29:ab:aa:af txqueuelen 1000 (Ethernet) 
RX packets 508 bytes 39687 (38.7 KiB) 
RX errors © dropped © overruns © frame 0 
TX packets 53 bytes 6835 (6.6 KiB) 
TX errors 0 dropped © overruns O0 carrier © collisions 0 


eno33554984: flags-4163«UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:feab:aab9 prefixlen 64 scopeid 0x20<link> 
ether 00:0c:29:ab:aa:b9 txqueuelen 1000 (Ethernet) 
RX packets 76 bytes 7596 (7.4 KiB) 


RX errors 9 dropped © overruns © frame 0 


TX packets 29 bytes 4221 (4.1 KiB) 

TX errors @ dropped © overruns O carrier O collisions 0 
lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 

inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid OxlO«host» 

loop txqueuelen © (Local Loopback) 

RX packets 905 bytes 73464 (71.7 KiB) 

RX errors 9 dropped O overruns O frame 9 

TX packets 905 bytes 73464 (71.7 KiB) 

TX errors 9 dropped 0 overruns O carrier O collisions 0 


[rootalinuxprobe Desktop]£€ 


第 2 步 :在 主 配置 文件 中 添加 缓存 转发 参数 。 
缓存 服务 器 的 配置 步骤 非常 简单 ， 首 先 安 效 bind 服务 (yum install named -y)， 然 后 编辑 主 配置 文件 : 
[root@linuxprobe ~|# vim /etc/named.conf 
将 监听 IP 端口 与 允许 查询 主机 修改 为 any, 再 添加 一 行 ”forwarders { 上游 DNS 服务 属地 址 ; } 
上 游 DNS 服务 器 地 址 指 的 是 从 何 处 取得 区 域 数据 文件 ， 主 要 对 比 查询 速度 、 稳 定性 、 安 全 性 等 因素 。 
本 次 使 用 北京 市 DNS 服务 器 :”210.73.64.1”， 请 读者 选择 前 先 Ping 下 EPET, TNT ES Ap SCARE AK CU 











root()linuxprobe:"/Desktop m— 
File Edit View Search Terminal Tabs Help 
| root(olinuxprobe:-/Desktop x | root@linuxprobe:~/Desktop xj 
// 
// named.conf 
// 


// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 








// 
// See /usr/share/doc/bind*/sample/ for example named configuration files. 
/ / 
options ( 
listen-on port 5 
listen-on-v6 port ^ 
directory ivar named": 
dump -file " /var/named/data/cache | dump .db"; 
statistics- file  /var/named/data/named _ stats.txt" 
LED - - gad/data/named | mem stats. txt" 
/"* 
- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs 
ion. 
- If you are building a RECURSIVE (caching) DNS server, you need to ena 
ble 
recursion. 
- If your recursive DNS server has a public IP address, you MUST enable 
access 
control to limit queries to your legitimate users. Failing to do so w 
SEL 
"/etc/named.conf" 59L, 1600C 17,2-9 Top 


第 3 步 :重启 DNS 服务 后 验证 成 果 。 
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将 客户 端的 网 卡 DNS 地 址 指向 缓存 服务 器 (192.168.10.10)， 配 置 网 卡 应 该 已 经 很 熟练 ， 很 简单 了 吧 : 


root@localhost:~*/Desktop 


File Edit View Search Terminal Help 
Edit connection 
Device 
= ETHERNET <Show> 


IPv4 CONFIGURATION «Manual» «Hide» 
Addresses «Remove» 


«Hemove» 


« 
Search domains «Add...» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





修改 完 主 配置 文件 后 请 将 named 服务 重启 : 

[root&linuxprobe ~|# systemctl restart named 

使 用 nslookup 命令 验证 实验 成 果 ( 如 果 解 析 不 成 功 ， 请 读者 多 留意 下 是 不 是 上 游 DNS 选择 的 问题 ) : 
[root@linuxprobe ~|# nslookup 

> Www.linuxprobe.com 

Server: 192.168.10.10 

Address: 192.168.10.10#53 


Non-authoritative answer: 

Name: www.linuxprobe.com 

Address: 113.207.76.73 

Name: www. linuxprobe.com 

Address: 116.211.121.154 

再 来 尝试 下 反 向 查询 吧 QR google 的 免费 DNS 服务 器 地 址 ) : 
> 8.8.8.8 

server: 192.168.10.10 

Address: 192.168.10.10#53 

Non-authoritative answer: 

8.8.8.8.in-addr.arpa name - google-public-dns-a.google.com. 
Authoritative answers can be found from: 

in-addr.arpa nameserver = f.in-addr-servers.arpa. 
in-addr.arpa nameserver - b.in-addr-servers.arpa. 
in-addr.arpa nameserver - a.in-addr-servers.arpa. 
in-addr.arpa nameserver - e.in-addr-servers.arpa. 
in-addr.arpa nameserver - d.in-addr-servers.arpa. 
in-addr.arpa nameserver - c.in-addr-servers.arpa. 
a.in-addr-servers.arpa internet address - 199.212.0.73 
a.in-addr-servers.arpa has AAAA address 2001:500:13:73 
b.in-addr-servers.arpa internet address - 199.253.183.183 
b.in-addr-servers.arpa has AAAA address 2001:500:87::87 
c.in-addr-servers.arpa internet address = 196.216.169.10 
c.in-addr-servers.arpa has AAAA address 2001:43f8:110::10 
d.in-addr-servers.arpa internet address - 200.10.60.53 
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d.in-addr-servers.arpa has AAAA address 2001:13c7:7010:53 
e.in-addr-servers.arpa internet address = 203.119.86.101 
e.in-addr-servers.arpa has AAAA address 2001:dd8:6::101 
f.in-addr-servers.arpa internet address = 193.0.9.1 
f.in-addr-servers.arpa has AAAA address 2001:67c:e0::1 


12.7 分 离 解析 技术 


假如 喜欢 《Linux 就 该 这 么 学 》 的 海外 留学 生 越 来 越 多 ， 但 网 站 服务 器 架设 在 北京 市 ， 那 么 留学 生 访 问 起 来 速度 一 定 

很 慢 ， 而 将 服务 器 架 设 在 美国 ， 那 又 会 让 国内 用 己 访问 变 得 很 麻烦 ， 于 是 我 们 便 可 以 采用 分 离 解析 的 办 法 ， 虽 然 访问 

的 是 相同 的 网 址 ， 但 国内 用 户 访问 北京 服务 器 ， 而 留学 生 则 直接 访问 美国 服务 器。 

分 离 解析 : 当 来 自 于 不 同 IP 地 址 的 用 户 查询 相同 域名 时 会 为 其 提供 不 同 的 解析 结果 ， 大 致 流程 为 : 

第 1 步 : 在 区 域 信息 文件 中 填写 不 同 的 Zone 区 域 信 息 。 

第 2 步 : 建立 独立 的 区 域 数 据 文件 。 

第 3 步 : 重新 启动 named 服务 并 验证 结果 。 

那么 为 了 解决 《Linux 就 该 这 么 学 》 访 问 速 度 的 问题 ， 站 务 管理 员 已 经 在 美国 架设 好 了 网 站 服务 器 ， 请 您 部 署 DNS 服务 器 并 
实现 分 离 解 析 功 能 ， 北 京 用 户 与 美国 用 户 访问 相同 域名 时 解析 出 不 同 的 IP 地 址 ， 拓 扑 如 下 : DNS 分 离 解 析 拓 四 





北京 用 户 :122|71155.1 北京 机 房 :122.71155.15 





上 一 他 





eno16777736:122.71.115.10 | 
eno33554984:106.185.25.10 











海外 留学 生 :106.185.251 美国 机 房 :106.185 25 15 
主机 名 称 操作 系统 IP 地 址 
DNS 服务 器 红 幅 RHEL7 操作 系统 北京 网 络 :122.71.115.10 


美国 网 络 :106.185.25.10 


A3 RIP Windows7 122.71.155.1 
海外 用 户 Windows7 106.185.25.1 


请 读者 先 动手 安装 下 BIND 服务 (“yum install bind-chroot -y“)， 并 将 其 加 入 到 开机 启动 项 中 。 

第 1 步 : 在 区 域 信息 文件 中 填写 不 同 的 Zone 区 域 信息 。 

修改 主 配 置 文件 ” /etc/named.conf“， 将 监听 端口 与 允许 查询 主机 修改 为 any， 并 将 约 在 51 行 的 根 域 信息 期 除 掉 : 
zone ". INI 


type hint; 








file "'name.ca"; 
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编辑 区 域 信息 文件 ”Vetc/named.rfc1912.zones“， 清 空 该 文件 所 有 默认 的 数据 并 添加 以 下 内 容 : 
//ACL 定义 了 china 4 american 分 别 对 应 的 IP 地址 ， 以 下 就 不 需要 写 IP 地 址 了 。 
acl "china" { 122.7 1.115.0/24; y; 
acl "american" { 106.185.25.0/24:;}; 
// 匹 配 所 有 china 内 的 IP 地址 ， 对 应 的 域名 数据 文件 为 linuxprobe.com.china。 
view "china { 
match-clients { "china"; y; 
zone "linuxprobe.com' 1 
type master; 
file "linuxprobe.com.china"; 
5 
5 
// 匹 配 所 有 american 内 的 IP 地 址 ， 对 应 的 域名 数据 文件 为 linuxprobe.com.american., 
view "american" { 
match-clients ( "american"; y; 
zone "linuxprobe.com' 1 
type master; 
file "linuxprobe.com.american"; 
5 
5 
这 样 来 自 不 同 IP 地 址 的 用 户 访问 linuxprobe.com 域 时 就 会 访问 不 同 的 区 域 数 据 文 件 ， 从 而 达到 了 分 离 解析 的 作用 。 
第 2 步 : 建立 独立 的 区 域 数 据 文件 。 
切换 工作 目录 到 named 服务 目录 中 : 
[root@linuxprobe ~|# cd /var/named 
分 别 复制 出 两 份 域名 区 域 文件 数据 的 模板 : 
[root@linuxprobe named|# cp -a named.localhost linuxprobe.com.china 


[root@linuxprobe named|# cp -a named.localhost linuxprobe.com.american 


编辑 对 中 国 用 户 有 效 的 域名 区 域 数据 文件 vim linuxprobe.com.china: 
$TTL 1D  # 生 存 周 期 为 1 天 


@ IN SOA linuxprobe.com. rootlinuxprobe.com.  ( 
# 授 权 信 息 开始 : #DNS 区 域 的 地 址 “ # 域 名 管理 员 的 邮箱 (不 要 用 @ 符 号 ) 
O;serial # 更 新 序列 号 
1 D;refresh # 更 新 时 间 
1 H;retry # 重 试 延 时 


1 W;expire # 失 效 时 间 
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3H;minimum  ## 无 效 解析 记录 的 缓存 


时 间 

NS ns.linuxprobe.com. # 域 名 服务 发 记录 
ns IN A 122. 71.155 10 # 地 址 记录 (ns.linuxprobe.com) 
WWW IN A 1522 TES 5 MIES # 地 址 记录 (www.linuxprobe.com.,) 

编辑 对 美国 用 户 有 效 的 域名 区 域 数 据 文件 vim linuxprobe.com.american: 

$TTL 1D  # 生 存 周 期 为 1 天 
@ IN SOA linuxprobe.com. rootlinuxprobe.com.  ( 

# 授 权 信息 开始 : #DNS 区 域 的 地 址 “# 域 名 管理 员 的 邮箱 (不 要 用 @ 符 号 ) 

O:serial # 更 新 序列 号 


1 D;irefresh # 更 新 时 间 
1 H;retry # 重 试 延 时 
1 W;expire # 失 效 时 间 


3H;minimum  # 无 效 解析 记录 的 缓存 


时 间 
NS ns.linuxprobe.com. # 域 名 服务 如 记录 
ns INA 106.185.25.10 # 地 址 记录 (ns.linuxprobe.com) 
WWW IN A 106139251 # 地 址 记录 (www.inuxprobe.com 


第 3 步 : 重新 启动 named 服务 并 验证 结果 。 
开启 两 合 windows? 系统 的 虚拟 机 ， 分 别 模 拟 中 国 与 美国 IP 地 址 后 执行 ”nslookup www.linuxprobe.com ^", 
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第 133€ 使 用 DHCP 动态 管理 主机 地 址 。 


CE BIS: 
DHCP 协议 服务 能 够 自动 化 的 管理 局 域 网 内 的 主机 IP 地 址 ， 有 效 的 提升 IP 地 址 使 用 率 , 提高 配置 效率 , 减少 管理 与 维护 成 本 。 
学 习 dhcpd 服务 程序 的 使 用 方法 并 逐条 讲解 配置 参数 ， 完 整 演示 自动 化 分 配 IP 地 址 、 绑 定 IP 地 址 与 mac 地 址 等 实验 。 
DHCP 中 继 代 理 技术 是 多 个 物理 网 段 共 同一 台 DHCP 服务 器 的 最 佳 解 决 方案 ， 运 维 人 员 人 必 学 的 实用 技术 之 一 。 


13.1 动态 主机 管理 协议 





DHCP 动态 主机 管理 协议 (Dynamic Host Configuration UDP 协议 且 仅 限 用 于 局 域 网 的 网 络 协 
议 ， 主 要 用 途 是 为 局 域 网 内 部 设备 或 网 络 供应 商 自 动 分 配 IP 地 址 ， 通 常会 应 用 在 大 型 的 局 域 网 环境 中 或 局 域 网 内 
存在 比较 多 的 移动 办 公设 备 ，DHCP 协议 能 够 实现 集中 的 管理 、 分 配 IP 地 址 。 

DHCP 服务 程序 能 够 使 局 域 网 内 的 主机 自动 且 动 态 的 获取 IP 地 址 、 子 网 掩 码 、 网 关 地 址 以 及 DNS 服务 器 地 址 等 信 
息 ， 且 能 够 有 效 的 提升 地 址 使 用 率 ， 提 高 配置 效率 ， 减 少 管理 和 维护 成 本 。 








DHCP EI ———— — — 9 


| —— 







EN. — — 


AE — — mi 
客户 机 DHCP HR 25-55; 





DHCP 协议 能 够 保证 任何 JP 地 址 在 同一 时 刻 只 能 由 一 台 DHCP 客户 机 使 用 ， 且 能 够 为 指定 主机 分 配 固定 的 IP 地 
址 。 


DHCP 服 务 器 
| 192.168.10.0/24 





DHCP 服务 程序 的 常见 术语 : 
作用 域 : 一 个 完整 的 TP 地 址 段 ，DHCP 服务 根据 作用 域 来 管理 网 络 的 分 布 、 分 配 TP 地 址 及 其 他 配置 参数 。 
超级 作用 域 :用 于 支持 同一 物理 网 络 上 多 个 逻辑 IP 地 址 子 网 段 ， 包 含 作 用 域 的 列表 ， 并 对 子 作 用 域 统一 管理 。 
排除 范围 :将 某 些 IP 地 址 在 作用 域 中 排除 ， 确 保 这 些 IP 地 址 不 会 被 提供 给 DHCP 客户 机 。 
地 址 池 : 在 定义 DHCP 服务 的 作用 域 并 应 用 排除 范围 后 ， 剩 余 用 来 动态 分 配给 DHCP 客户 机 的 IP 地址 范围 。 
租约 : 即 DHCP 客户 机 能 够 使 用 动态 分 配 到 的 TP. 地 址 的 时 间 。 
预约 :保证 局 域 子 网 中 特定 设备 总 是 获取 到 相同 的 IP 地址。 





DASS 
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13.2 安装 dhcpd 服务 程序 


dhcpd 服务 程序 用 于 提供 DHCP 协议 服务 ， 确 认 镜 像 挂 载 且 yum 仓库 配置 完毕 后 即 可 开始 安装 : 


[root@linuxprobe ~|# yum install dhcp 
> Package dhcp.x86 64 12:4.2.5-27.el7 will be installed 


Complete! 

dhcpd 服务 程序 与 配置 文件 : 
主 配置 文件 /etc/dhcp/dhcpd.conf 
执行 程序 /usr/sbin/dhcpd 


/usr/sbin/dhcrelay 


先 来 分 析 下 dhcp 程序 的 主 配置 文件 吧 : 

[rootelinuxprobe ~|# cat /etc/dhcp/dhcpd.conf 

# DHCP Server Configuration file. 

* see /usr/share/doc/dhcp"/dhcpd.conf.example 

# see dhcpd.conf(5) man page 

是 的 ， 你 没有 看 错 ! dhcpd 服务 程序 的 配置 文件 默认 只 有 注释 语句 ， 需 要 参考 下 模板 文件 : 
[root@linuxprobe ~|# cat /usr/share/doc/dhcp*/dhcpd.conf.example 
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一 个 标准 的 DHCP 配置 文件 应 该 包括 全 局 配置 参数 、 子 网 网 段 声 明 、 地 址 配置 选项 以 及 地 址 配置 参数 : 


[root@linuxprobe ~]# vim /etc/dhcp/dhcpd.conf 


ddns-update-style interim; 全 局 配置 参数 


ignore client-updates; 


subnet 192.168.10.0 netmask 255.255.255.0 ( 子 网 网 段 声明 


option routers 192.168.10.1; 
地 址 配置 选项 


option subnet-mask 255.255.255.0; 


default-lease-time 21600; 


max-lease-time 43200; 地 址 配置 参数 











全 局 配置 参数 用 于 定义 整个 配置 文件 的 全 局 参数 ， 而 子 网 网 段 声 明 用 于 配置 整个 子 网 段 的 地 址 属性 ， 其 体 


参数 作用 


ddns-update-style 类 型 定义 DNS 服务 动态 更 新 的 类 型 ， 类 型 包括 : 


none (不 支持 动态 更 新 ), interim (互动 更 新 模式 ) 与 ad-hoc( 特 殊 更 新 模式 )。 


allow/ignore client-updates 允许 /忽略 客户 机 更 新 DNS 记录 。 
default-lease-time 21600 默认 超时 时 间 。 
max-lease-time 43200 最 大 超时 时 间 。 


option domain-name-servers 8.8.8.8 定义 DNS f Ar ds 33. 


参数 有 : 
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option domain-name "domain.org" 定义 DNS 域名 。 

range 定义 用 于 分 配 的 IP 地址 池 。 

option subnet-mask 定义 客户 机 的 子 网 掩 码 。 

option routers 定义 客户 机 的 网 关 地 址 。 
broadcase-address 广播 地 址 定义 客户 机 的 广播 地 址 。 

ntp-server IP 地 址 定义 客户 机 的 网 络 时 间 服 务 器 (NTP)。 
nis-servers IP 地 址 定义 客户 机 的 NIS 域 服 务 嚣 的 地 址 。 
hardware 硬件 类 型 MAC 地 址 指定 网 卡 接口 的 类 型 与 MAC 地 址 。 
server-name 主机 名 通知 DHCP 客户 机 上 服务 局 的 主机 名 。 
fixed-address IP 地 址 将 某 个 固定 IP 地 址 分 配给 指定 主机 。 
time-offset 偏 移 差 指定 客户 机 与 格林 尼 治 时 间 的 偏 移 差 。 


13.3 自动 管理 IP 地 址 


DHCP 协议 的 初衷 是 更 高 效 的 集中 管理 管理 局 域 网 内 IP 地 址 资源 ， 那 么 符合 让 DHCP 服务 更 准确 的 完成 工作 呢 ? 
为 了 让 实验 更 有 挑战 性 ， 我 们 来 模拟 一 个 真实 环境 吧 : 

运 维 部 : 

明日 约 有 50 名 外 部 学 员 自 带 笔记 本 设备 来 我 司 培训 学 习 ， 请 保证 学 员 能 够 用 DHCP 获取 IP 地 址 并 正常 上 网 。 

机 房 网 段 及 参数 如 下 : 


参数 名 称 值 

默认 租约 时 间 21600 秒 

最 大 租约 时 间 43200 f» 

IP 地 址 范围 192.168.10.50~192.168.10.150 
子 网 掩 码 255.255.255.0 

网 关 地 址 192.168.10.1 

DNS 服务 地 址 192.168.10.1 


搜索 域 linuxprobe.com 
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看 完 配 置 要 求 后 ， 首 先 请 准备 实验 环境 : 
主机 类 型 操作 系统 IP 地 址 


DHCP 服务 端 2r'"H RHEL7 操作 系统 192.168.10.1 


DHCP 客户 机 红 帽 RHEL7 操作 系统 DHCP 自动 获取 地 址 


配置 虚拟 机 网 络 类 型 (两 台 主 机 都 要 配置 成 一 样 的 ) 配置 DHCP 服务 端的 IP 地址 。 
aem 9 CON 2m E -USIE  — ww 


硬件 | 选项 








root@linuxprobe:~/Desktop 




















z 设备 状态 View Search Terminal Tabs Help 
设 要 B 


4 已 连接 (C) 
Pm E 7| ezhi (o) uxprobe:~/Desktop * | root@linuxprobe:~/Desktop 


EASCSI) 20 GB (预先 分 配 ) l 
JCD/DVD (SATA) 正在 使 用 文件 F:\ 镶 像 文件 \RHELser..， 网络 连接 Edit connection 
i O 桥接 模式 (B): 直接 连接 物理 了 网络 


网 络 适 配器 





























自动 检测 mE : - 
复制 物理 网 络 和 连接 状态 (P) P rofile name ee 6 777728 


© NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 Device MOROENI TAAA: 

© 公主 机 模式 (H): 与 主机 共享 的 专用 网 络 

O EXU): 特定 虚拟 网 络 [HERNET <Show> 
VMnet0 (自动 桥接 ) Y 

© LAN 区 段 (LU): v4 CONFIGURATION 

Addresses 


LAN 区 段 (53)… | | 高 级 (V).… Gateway 
DNS servers «Add...» 
Search domains «Add...» 





«Hide» 
«Remove» 








Routing (No custom routes) «Edit...» 
] Never use this network for default route 


(] Require IPv4 addressing for this connection 











[ BRR |] 




















配置 DHCP 客户 机 的 网 卡 。 


root()linuxprobe:*/Desktop 





iew Search Terminal Help 


Edit connection 


Profile name ass 






Device WORO IP, 
:RNET «Shc 
} CONFIGURATION «Automatic» «Shc 
; CONFIGURATION «Automatic» «Shc 


Iitomatically connect 
railable to all users 


«Cancel» 


二 一 = RR I 
另外 因为 虚拟 机 软件 VmwareWorkstation 默认 开启 了 虚拟 机 DHCP 服务 ， 必 需 关 闭 后 再 进行 DHCP 实验 : 


fni vemm] teat, 0000000000000 hn 





xu [REE] o exo FE «wen ||] Dii eo x 
em Cil X 







类 型 外 部 连接 
桥接 模式 BANA 


*) X Thu22:10 时 root“ 


主机 
NATIES NAT 模式 





当 您 确定 两 全 主机 的 网 卡 和 虚拟 机 都 已 经 配置 妥当 ， 那 么 就 开始 配置 DHCP 服务 程序 吧 : (omisi... | BHO. 


YMnet 信息 
[rootelinuxprobe ~|# vim /etc/dhcp/dhcpd.conf [| ere 
// 请 注意 dhepd 服务 程序 的 配置 文件 中 每 个 参数 均 需 要 以 ;号 结尾 。 Sp ey ee 


园 将 主机 虚拟 适 本 器 连接 到 此 网 络 (W) 


// 请 将 下 面 表格 中 的 参数 逐 行 写 入 到 dhcpd.conf 文件 中 。 nt 


站 
E 





子 网 IP m: 192.168.75 ,0 FPM: 255.255.255. 0 


GERBER GU. CEES (aMi) emo | (a) 





DARE 


参数 

ddns-update-style none; 

ignore client-updates; 

subnet 192.168.10.0 netmask 255.255.255.0 { 
range 192.168.10.50 192.168.10.150; 
option subnet-mask 255.255.255.0; 

option routers 192.168.10.1; 

option domain-name "linuxprobe.com"; 
option domain-name-servers 192.168.10.1; 
default-lease-time 21600; 

max-lease-time 43200; 


j 


重启 dhcpd 服务 程序 : 

[root@linuxprobe ~|# systemctl start dhcpd 
添加 到 开机 启动 项 中 : 

[root@linuxprobe ~|# systemctl enable dhcpd 
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作用 


设置 DHCP 服务 不 自动 动态 更 新 。 


忽略 客户 机 更 新 DNS 记录 。 


作用 域 为 192.168.10.0/24 网 段 。 


IP 地 址 池 为 192.168.10.50-150 (Z1 100 个 JP WA). 


定义 客户 机 上 默认 的 子 网 掩 码 。 


定义 客户 机 的 网 关 地 址 。 


定义 默认 的 搜索 域 。 


定义 客户 机 的 DNS 地 址 。 


定义 默认 租约 时 间 。 


定义 最 大 预约 时 间 。 


此 为 结束 符 


In -s /usr/lib/systemd/system/dhcpd.service' /etc/systemd/system/multi-user.target.wants/dhcpd.service 
因为 在 红 帆 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable dhcpd “。 


此 时 在 DHCP 客户 机 上 重启 网 卡 设备 ， 即 可 自动 获取 到 IP 地址 : 


File Edit View Search Terminal 
[ rootGLinuxprobe 
[rootglinuxprobe ~] 


# ifconfig 





J2.100.10. 90 


IP, BROADCAST , RUNN 


netmask 255.255.255 


root@linuxprobe:~ 


Help 


~]# systemctl restart network 


-TICAST» mtu 1500 


ING,MUL 
j .0 broadcast 192.168.10.255 


20c:29ff:fe27:c612 prefixlen 64 scopeid 0x20<link> 
ether 00:0c:29:27:c6:12 txqueuelen 1000 (Ethernet) 
RX packets 340 bytes 34349 (33.5 KiB) 
RX errors © dropped © overruns O frame 0 
TX packets 193 bytes 20504 (20.0 KiB) 
TX errors © dropped O overruns © carrier © collisions 0 


lo: 


inet6 ::1 
loop txqueuelen 0 
RX packets 92 


TX errors © dropped © overruns 0 


flags-73«UP,LOOPBACK,RUNNING» mtu 655 
inet 127.0.0.1 netmask 255.0.C 
prefixlen 128 


36 
0.0 
scopeid Ox10«host» 


(Local Loopback 
bytes 9398 
© overruns O frame 0 


(9.1 KiB) 


98 (9.1 KiB) 


carrier © collisions 0 


DASS 
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13.4 分 配 固定 IP 地 址 
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DHCP 协议 的 术语 预约 指 的 就 是 保证 局 域 子 网 中 特定 设备 总 是 获取 到 相同 的 IP 地 址 ， 换 名 话说 dhcpd 服务 会 将 茶 个 
IP 地 址 私 藏 下 来 , 只 有 匹配 到 特定 主机 了 才 会 拿 出 来 分 配 , 而 要 做 卫 地 址 与 主机 的 绑 定 , 需要 使 用 下 面 的 参数 格式 : 


host 主机 名 称 { 


hardware ethernet 
fixed-address 欲 指定 的 IP Ju dE; 


查看 到 要 绑 定 IP 地 址 的 主机 mac 地 址 (00:0c:29:27:06:12) : 





在 DHCP 配置 文件 中 添加 绑 定 语句 : 
ddns-update-style none; 
ignore client-updates; 
subnet 192.168.10.0 netmask 255.255.255.0 1 
range 192.168.10.50 192.168.10.1 50; 
option subnet-mask 255.255.255.0; 
option routers 192.168.10.1; 
option domain-name "linuxprobe.com"; 
option domain-name-servers 192.168.10.1; 
default-lease-time 21600; 
max-lease-time 43200; 
host linuxprobe { 
hardware ethernet 00:0c:29:27:c6:12; 
fixed-address 192.168.10.88; 
j 
j 
确定 配置 参数 填写 正确 后 重启 dhcpd 服务 : 
[root@linuxprobe ~|# systemctl start dhcpd 


该 主机 的 MAC 地 址 ; 


DHCP 客户 机 重新 加 载 网 卡 设备 后 查看 到 顺利 绑 定 到 了 指定 的 IP 地址 ， 不 错 哦 ~ 
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b) LAM! 
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root(Dlinuxprobe:*/Desktop 
File Edit View Search Terminal Help 
14 f # toan * 


l t@linuxprobe Desktop]# systemctl restart network 
r p m 
) es z 





13.5 DHCP 中 继 代 理 


DHCP 中 继 代理 ( 即 DHCP Relay Agenb 用 于 转发 来 自 于 另 一 个 没有 DHCP 服务 器 子 网 段 中 客户 端的 DHCP 请 求 ， 
即 当 一 合 DHCP 客户 端 发 起 请 求 后 ， 此 时 DHCP 中 继 代理 就 会 将 已 经 预先 定义 好 的 DHCP 服务 器 的 信息 转发 给 客户 





192. 168. 10. 0/24 192. 168. 20. 0/24 


| i 
CD DHCP 服 务 器 
192. 168. 30. 0/24 


如 果 客 尸 机 与 DHCP 服务 器 处 在 同一 个 子 网 段 ， 则 客 尸 机 自然 能 够 顺利 动态 获取 到 IP 地 址 ， 但 者 客户 机 与 DHCP 服 
务 器 处 在 不 同 的 子 网 段 或 物理 网 段 ， 则 需要 DHCP Relay Agent 来 处 理 和 转发 DHCP 协议 信息 ， 换 名 话 说 ，DHCP 中 
继 代 理 可 以 让 每 个 物理 子 网 不 再 必需 配 有 一 台 DHCP 服务 器 ， 而 是 将 请 求 转发 给 指定 的 DHCP 服务 器 。 
在 BOOTP 模式 中 执行 dhcrelay 服务 (DHCPv4): 
第 1 步 :复制 服务 程序 
[root&linuxprobe ~|# cp /lib/systemd/system/dhcrelay.service /etc/systemd/system/ 
第 2 步 :编辑 服务 程序 
[root@linuxprobe ~|# vim /etc/systemd/system/dhcrelay.service 
在 ExecStart 参数 中 添加 指定 DHCP 服务 器 地 址 
ExecStart-/usr/sbin/dhcrelay -d --no-pid 192.168.10.1 
如 果 和 希望 仅 某 个 网 卡 专门 用 于 监听 DHCP 请 求 ， 则 在 ExecStart 选项 中 追加 -i 参数， 默认 全 部 网 卡 均 监 听 。 
ExecStart-/usr/sbin/dhcrelay -d --no-pid 192.168.10.1 -i eno16777736 
第 3 步 :启动 dhcrelay 中 继 服 务 程序 。 
[root@linuxprobe ~|# systemctl --system daemon-reload 
[root@linuxprobe ~|# systemctl restart dhcrelay 
[root&linuxprobe ~|# Systemctl enable dhcrelay 
坦白 讲 , 一 般 DHCP 中 继 功 能 在 日 常 工 作 使 用 较 少 ,或 由 路 由 器 负责 DHCP 中 继 功 能 ,， 极 少 用 红 帽 Linux 系统 搭建 。 


本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 


第 230 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


第 231 页 


DASS 


第 14 X 使 用 Postfix 5 Dovecot 收发 电子 邮件 。 


章节 概述 : 
本 章节 从 电子 邮局 系统 的 组 成 角色 开始 讲 起 ， 了 解 MUA、MTA 5 MDA 的 作用 ， 熟 悉 熟 悉 SMTP、POP3 与 IMAP4 邮局 协议 。 
学 习 postfix 与 dovecot 服务 程序 的 使 用 方法 并 逐条 讲解 配置 参数 ， 完 整 演 示 了 部 署 基础 电子 邮局 系统 以 及 设置 用 户 别名 邮箱 的 方法 。 


14.1 电子 邮局 系统 





1971 年 由 美国 国防 部 资助 的 的 ARPANET 科研 项 目 遇 到 了 严峻 问题 一 一 参 于 科研 项 目的 科学 家 在 不 同 的 地 方 工 作 ， 
不 能 及 时 的 分 享 各 自 的 研究 成 果 ， 迫 切 的 需要 一 种 能 够 借助 于 网 络 且 建立 在 计算 机 之 间 的 传输 数据 的 方法 。 当时 麻 
省 理工 学 院 Ray Tomlinson 博士 也 是 ARPANET 项 目的 科研 成 员 ， 当 年 秋天 他 使 用 软件 SNDMSG 向 自己 另 一 合 电脑 
发 出 了 人 类 历史 上 第 一 封 Email 邮件 。 





Ray Tomlinson 博士 决定 选择 ”@” 符 号 作为 用 户 名 与 主机 地 址 的 间隔 符 。 

邮件 应 用 协议 包括 : 
简单 邮件 传输 协议 (SMTP)， 用 来 发 送 或 中 转发 出 的 电子 邮件 ， 占 用 tcp 25 端口 。 
第 三 版 邮局 协议 (POP3)， 用 于 将 服务 器 上 把 邮件 存储 到 本 地 主机 ， 占 用 tcp 110 端口 。 
第 四 版 互联 网 信息 访问 协议 (IMAP4)， 用 于 在 本 地 主机 上 访问 邮件 ， 占 用 tcp 143 端口 。 


- SMTP N ^ SMTP r^ POP3 或 IMAP4 
a c RR 


A MTA MTA 
发 信人 新 当 电子 邮局 谷歌 电子 邮局 收 信人 








电子 邮件 系统 (E-mail， 即 Electronic mail system) 由 三 部 分 组 成 : 

用 户 代 理 MUA(Mail User Agent): 用 于 收发 邮件 。 

邮件 传输 代理 MTA(Mail Transfer Agent): 将 来 自 于 MUA 的 邮件 转发 给 指定 用 户 。 

邮件 投递 代理 MDA(Mail Delivery Agent): 将 来 自 于 MTA 的 邮件 保存 到 本 机 的 收 件 箱 中 。 
电子 邮件 系统 与 大 多 数 的 网 络 应 用 协议 有 本 质 的 不 同 ， 例 如 前 面 讲 过 的 文本 传输 协议 (ETP)，FIP 服务 程序 就 像 拨 打 
电话 一 样 ， 需 要 对 方 当 前 也 保持 在 线 ， 有 否则 会 报错 连接 超时 。 但 电子 邮件 的 发 送 者 则 并 不 需要 等 待 投 阅 工作 完成 ， 因 
为 如 果 对 方 服务 器 邱 机 了 ， 则 会 将 要 发 送 的 内 容 自 动 的 暂时 保存 到 本 地 ， 检 测 到 对 方 服务 器 恢复 后 再 次 投递 。 另 外 如 
果 您 想 搭建 企业 级 的 电子 邮件 系统 ， 请 考虑 下 面 几 点 : 
反 垃圾 与 反 病 毒 模 块 : 咀 止 垃圾 邮件 或 病毒 邮件 对 企业 邮箱 的 干扰 。 
邮件 加 密 : 保 证 邮件 内 容 不 被 噢 探 、 估 改 。 
邮件 监控 审核 :监控 全 体 职 员 邮 件 中 有 无 敏感 词 ， 透 露 企业 资料 等 。 
稳定 性 :有 较 好 的 防 DDOS 攻击 的 能 力 ， 保 证 系统 在 线 率 等 。 
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14.2 部 署 基础 电子 邮局 系统 


单独 的 使 用 Postfix 服务 程序 并 不 能 让 用 户 完成 收发 邮件 的 操作 ， 因 为 一 个 基础 的 电子 邮局 系统 至 少 需要 有 SMTP 服 
4-3&. POP3/IMAP 服务 器 ， 为 了 能 够 部 署 一 个 基础 的 电子 邮局 系统 ， 我 们 需要 使 用 到 下 面 的 软件 : 

Postfix: 提 供 邮 件 发 送 服务 ， 即 SMTP. 

Dovecot 提 供 邮 件 收取 服务 ， 即 POP3。 

OutLook Express: 窜 户 端 收发 邮件 的 工具 。 





Postfix( 发 送 邮件 )+Dovectot( 接 收 邮件 )+OutLook( 客 户 端 工具 ) 
配置 本 地 主机 名 
修改 本 地 主机 名 的 配置 文件 : 
[rootelinuxprobe ~| # vim /etc/hostname 
mail.linuxprobe.com 
[root&mail-] hostname 
mail.linuxprobe.com 
若 要 为 用 户 提供 linuxprobe 域 的 电子 邮局 系统 ， 则 需 先 在 DNS 服务 器 中 增加 A 记录 和 MX 记录 : 
€ IN MX 10 maillinuxprobe.com. 
mail IN A 192.168.10.10 
这 样 配置 解析 记录 后 ， 主 机 名 即 为 maillinuxprobe.com， 而 邮件 域 为 com. 


root()linuxprobe:"/Desktop 


File Edit View Search Terminal Help 


Edit connection 


T 

LI 
= ETHERNET «Show» 
IPv4 CONFIGURATION actus «Hide» 

l 


<Remove> 


< 
Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





(请 读者 自行 使 用 nmtui 工具 将 网 卡 的 DNS 地 址 配置 妥当 即 可 ) 
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14.2.1 配置 Postfix 服务 程序 


Postfix 是 一 款 由 IBM 出 资 研 发 的 免费 开源 的 邮局 服务 程序 ， 兼 容 于 Sendmail 服务 程序 ， 即 Sendmail 用 户 可 以 很 方 
便 的 迁移 到 Postfix 程序 ， 且 收发 件 性 能 远 超 过 Sendmail， 能 够 自动 增加 减少 进程 的 数量 ， 保 证 邮局 系统 的 高 性 能 与 
稳定 性 ， 另 外 Postfix 是 由 诸多 的 小 模块 组 成 ， 每 个 小 模块 完成 特定 的 功能 ， 使 得 管理 员 可 以 灵活 的 组 合 这 些 模块 。 
2r RHEL7 系统 中 默认 已 安装 postfix 邮局 服务 程序 : 

[rootelinuxprobe ~|#yum install postfix 

Nothing to do 


Postfix 邮局 服务 程序 的 配置 文件 如 下 : 


文件 作用 

/usr/sbin/postfix 主 服 务 程序 
/etc/postfix/master.cf master 主 程序 的 配置 文件 。 
/etc/postfix/main.cf postfix 服务 的 配置 文件 。 
/var/log/maillog 记录 邮件 传递 过 程 的 日 志 。 


第 1 步 :查看 Postfix 服务 程序 主 配 置 文件 : 
[root@mail~]# cat /etc/postfix/main.cf 


配置 文件 足 足 有 679 行 ! 但 不 用 担心 ， 绝 大 部 分 都 是 注释 信息 ， 我 们 只 学习 这 些 参数 即 可 : 


参数 作用 

myhostname 邮局 系统 的 主机 名 。 
mydomain 邮局 系统 的 域名 。 

myorigin 从 本 机 阁 出 邮件 的 域名 名 称 。 
inet, interfaces 监听 的 网 卡 接口 。 
mydestination 可 接收 邮件 的 主机 名 或 域名 。 
mynetworks 设置 可 转发 那些 主机 的 邮件 。 
relay_domains 设置 可 转发 那些 网 域 的 邮件 


编辑 Postfix 服务 程序 的 主 配置 文件 (修改 5 处 参数 ， 另 外 需要 将 参数 前 面 的 井 号 GO 去 掉 才 可 生效 ) : 
[root@mail~| # vim /etc/postfix/main.cf 

// 修 改 第 76 行 的 邮局 主机 名 。 

myhostname = mail.linuxprobe.com 

// 修 改 第 83 行 的 邮局 域名 。 


mydomain = linuxprobe.com 
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// 修 改 第 99 行 的 寄 出 邮件 域名 ，$mydomain 的 值 已 在 上 面 定义 。 
myorigin = $mydomain 
// 修 改 第 116 行 的 监听 网 卡 。 
inet. interfaces = all 
// E EC S 164 行 的 可 接收 邮件 的 主机 名 和 域名 。 
mydestination = $myhostname, $mydomain 
第 2 步 :创建 邮局 帐号 : 
[root@mail~| # useradd boss 
[Iroot@mail~] # echo "linuxprobe" | passwd --stdin boss 


Changing password for user boss. passwd: all authentication tokens updated successfully. 


第 3 步 :启动 Postfix 服务 程序 : 

[Iroot@mail~| # Systemctl restart postfix 

[rootemail-] # Systemctl enable postfix 

In -s /usr/lib/systemd/system/postfix.service /etc/systemd/system/multi-user.target.wants/postfix.service 
因为 在 红 帆 RHCSA, RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable postfix“。 


14.2.2 配置 Dovecot 服务 程序 


第 1 步 :安装 Dovecot 服务 程序 : 
[root@mail~| # yum install dovecot -y 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: dovecot x86. 64 1:2.2.10-4.el7 rhel7 3.2 M 
Installing for dependencies: clucene-core x86. 64 2.3.3.4-11.el7 rhel7 528 k 


Complete! 

第 2 步 :修改 Dovecot 程序 主 配 置 文件 : 

[root@mail~| # vim /etc/dovecot/dovecot.conf 

// 修 改 第 24 行 的 支持 邮局 协议 。 

protocols = imap pop3 lmtp 

// 然 后 追加 允许 明文 认证 (25 47). 
disable_plaintext_auth = no 

// 修 改 第 48 行 的 允许 登陆 网 段 地 址 ， 全 部 允许 即 为 (0.0.0.0/0). 
login_trusted_networks = 192.168.10.0/24 

第 3 步 :配置 邮件 的 格式 与 存储 路 径 。< 

编辑 dovecot 的 配置 文件 (将 第 25 行 的 注释 符 (# 号 ) 去 掉 ) : 
[root@mail~| # vim /etc/dovecot/conf.d/ 1 0-mail.conf 
mail location = mbox:-/mail:INBOX-/var/mail/96u 

第 4 步 :创建 邮件 的 存储 目录 : 

[root@mail~] # su - boss 

Last login: Sat Aug 15 16:15:58 CST 2015 on pts/1 
[bossemail -]$ mkdir -p mail/.imap/INBOX 
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第 5 步 :启动 Dovecot 服务 程序 : 


[root@mail~|  systemctl restart dovecot 
[root&mail-] 4 systemctl enable dovecot 


In -s /usr/lib/systemd/system/dovecot.service /etc/systemd/system/multi-user.target.wants/dovecot.service' 


14.2.3 用 户 使 用 邮局 系统 


您 可 以 在 《软件 资源 库 》 下 载 到 Windows7 系统 以 及 OutLook2007 邮件 管理 工具 , 系统 网 卡 请 按 要 求 配置 IP 地 址 : 


主机 名 称 操作 系统 IP 地 址 

邮局 服务 器 2r 8 RHEL7 操作 系统 192.168.10.10 
DNS 服务 器 红 帽 RHEL7 操作 系统 192.168.10.20 
用 户 端 主机 微软 Windows7 系统 


在 outlook 中 登陆 boss 用 户 后 尝试 给 root@linuxprobe.com 发 送 邮 件 。 
第 1 步 : 开启 OutLook 程序 。 


' Outlook 2007 启动 < 








Outlook 2007 启动 
欢迎 德 用 Outlook 2007 启动 向 导 ， 本 向 导 将 指导 您 完成 0ut1ook 2007 的 配置 过 程 。 














E50 B ] 
第 2 步 : 选择 开始 配置 电子 邮件 帐户 。 
E m 
电子 邮件 帐户 
ro 


ogn 


2:80) 








(RB 


第 3 步 : 选择 默认 的 邮局 服务 器 类 型 。 





第 236 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


Hem es 


选择 电子 邮件 服务 





© Microsoft Exchange. POP3、 IMAP 或 HTTP 


连接 到 Internet 服务 所 i SPERATO TAPER. 


Microsoft Exchange 
O Hh (0) 
连接 以 下 服务 器 类 型 。 


Fax Mail Transport 


Outlook 手机 信息 服务 





第 4 步 : 填写 创建 的 邮箱 帐号 和 密码 。 
c NN —AX-—— € X 





pus WS TAITURS SRIK HARA Internet 服务 提供 商 或 Microsoft Exchange 服 " 








您 的 姓名 ĉr): boss 
示例 ; Barbara Sankovic 

电子 邮件 地 址 OD : bossülimuxprobe. con ] 
示例 : barbarafcontoso. con 





E8 (r): kk ooope | 


重新 键入 密码 (T): o eene 
键入 您 的 Internet BURKE 


FARE RR TS E ANE WES 3828229 00) 





第 5 步 : 等 待 连接 邮局 
me 0000000000000 - 


联机 搜索 您 的 服务 器 设置 . . - > 





正在 配置 


正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 : 
ZO 建立 网 络 连 接 
bo 48X bossülinuxprobe. com 服务 器 设置 
登录 到 服务 器 





CEZEG)T—£ 0 >] 





第 625: 选择 非 加 密 的 链接 方式 。 


联机 搜索 您 的 服务 器 设置 . - 





正在 配置 


正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 : 
Jo 建立 网 络 连接 
bo 4X boss8linuxprobe. com 服务 器 设置 GEME) 
登录 到 服务 器 ( 非 加 密 ) 


(Ez) (n > 


第 7 步 : 在 页 面 上 邮件 ， 选 择 “ 新 邮件 ”。 
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: 文件 昌 RSO HAV 前往 (G) IAD 动作 (A) SAH) 键入 壬 要 帮助 的 | 器 题 - 
HFN - £X QZR Aers GAW Z3 Y du $553 ~ | 9 总 











邮件 «|t eR —— || Microsoft Office Outlook 测试 消息 hN 
s |as: 笋 件 箱 prx | Microsoft Office Outlook [boss@linuxprobe | 


| BRE a% EIE P m TUERSTIE = 
SUF boss 





























这 是 在 测试 您 的 帐户 设置 时 ，Nicrosof+t 
Office Outlook 自动 发 送 的 电子 邮件 。 
FEE iu 
排列 方式 (A) d E 
ETE)... 
SG. 
2l HERR)... 
第 选 仙 1).. 
Rb EH) 3 
A a350 : 
第 825: 填写 收 件 人 与 邮件 内 容 后 发 送 
| nod dd 1 = SI EE X r v 
"S j»srg.A-wwmapa Tems "— d 
awg ^ aet E ng mm - im 校对 
| | it A0)... | rootülinuxprobe, con 
E 
主题 (U): Hello~ 





| » Wil 


当 您 收 到 这 封 邮 件 时 ， 证 8 有 我 的 邮局 系统 实验 已 经 成 功 ! " 








登陆 到 邮局 服务 器 (192.168.10.10) 后 查看 root 用 户 的 邮件 : 
[root? mail-] # mail 
Heirloom Mail version 12.5 7/5/10.Type ? for help. 
"/var/mail/root': 3 messages 3 unread > 
U 1 user?localhost.com Fri Jul 10 09:58 1631/123113 "[abrt] full crash r" 
U 2 Anacron Sat Aug 15 13:33 18/624 "Anacron job 'cron.dai' 
U 3 boss Sat Aug 15 19:02 118/3604 "Hello~" 
&> 3 
Message 3: 
From bosselinuxprobe.com Sat Aug 15 19:02:06 2015 
Return-Path: 
X-Original-To: rootelinuxprobe.com 
Delivered-To: rootelinuxprobe.com 
From: "boss" 
To: 
subject: Hello- 
Date: Sat, 15 Aug 2015 19:02:06 «0800 
HP UN text/plain; charset-'gb2312" 
您 收 到 这 封 邮件 时 ， 证 明 我 的 邮局 系统 实验 已 经 成 功 ! 
> quit 


Held 3 messages in /var/mail/root 
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我 们 刚刚 顺利 的 向 root 用 户 发 送 了 邮件 ， 再 来 试 试 向 bin 用 户 (系统 默认 创建 ) 的 用 户 发 送 一 封 邮 件 吧 : 











usua TE 你 好 ,用 户 Bin。 - 邮件 (HTMD oc] mcn 
邮件 | 插入 选项 设置 文本 格式 © 
| A % aA Emi c à ge ZE , 
未 体 (中 文 上 -五 号 -|A X|iz-i-jm] 38] e y Men 
3 j PPS 
B md WE 
T9282 E2299 WIESE 3E 1E ES 通讯 簿 检查 姓名 È FN "m 
| 普通 文本 5 姓名 添加 选项 E 校对 
| Wr AO)... binélinuxprobe. com 
ED (m 
发 送 (S) | a: 
主题 (U): 你 好 ,用户 Bin。 





| » i 


这 是 一 封 发 给 用 户 Bin 的 文件 。* 














尝试 切换 到 bin HP (提示 此 帐户 当前 不 可 用 ): 

[root@mail ~|# su bin 

This account is currently not available. 

查看 root 用 户 的 邮箱 : 

[root@mail ~|# mail 

Heirloom Mail version 12.5 7/5/10. 

Type ? for help. 

"/var/mail/root': 4 messages 4 new > 

U 1 user?localhost.com Fri Jul 10 09:58 1630/123103 "[abrt] full crash r" 
U 2 Anacron Wed Aug 19 17:47 17/619 "Anacron job 'cron.dai" 

U 3 boss Sat Aug 15 19:02 118/3604 "Hello-" U 

4 boss Wed Aug 19 18:49 116/3231 "你 好 ， 用 户 Bin, " 

&> 4 

Message 4: 

From bosselinuxprobe.com Wed Aug 19 18:49:05 2015 

Return-Path: «bosselinuxprobe.com» 

X-Original-To: binelinuxprobe.com 

Delivered-To: binelinuxprobe.com 

From: "boss" «bosselinuxprobe.com» 

To: «binelinuxprobe.com» 

Subject: 你 好 ， 用 户 Bin, 

Date: Wed, 19 Aug 2015 18:49:05 +0800 

Content-Type: multipart/alternative; boundary="----=_NextPart_000_0006_O01DODAAF.B9104E90" 
X-Mailer: Microsoft Office Outlook 12.0 Thread-Index AdDabKrQzUHVBTgROMaCtUsVtqfL1Q-- Content- 
Language: zh-cn Status: R Content-Type: text/plain; charset-'gb2312" 

这 是 一 封 发 给 用 户 Bin 的 文件 。 

&» exit 

好 奇怪 ! 这 封 明 明 发 送 给 bin 用 户 的 邮件 为 什么 会 被 root 收 到 呢 ? 这 就 是 aliases 别名 机 制 ! 
查看 aliases 别名 机 制 的 配置 文件 : 

[root@mail ~|# cat /etc/aliases 

# 

# Aliases in this file will NOT be expanded in the header from 


# Mail, but WILL be visible over networks or from /bin/mail. 
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# 
# >>>>>>>>>> The program "newaliases" must be run after 
# >> NOTE >> this file is updated for any changes to 
# >>>>>>>>>> show through to sendmail. 
# 
# Basic system aliases -- these MUST be present. 
mailer-daemon: postmaster 
postmaster: root 
# General redirections for pseudo accounts. 
这 样 看 完好 像 就 大 致 明白 了 吧 ， 原 来 这 个 文件 定义 了 用 户 名 与 它 的 别名 ， 格 式 为 “别名 用 户 名 ”。 
如 果 我 们 希望 所 有 发 送 给 xxoo@linuxprobe.com 的 邮件 ， 均 保存 到 rootelinuxprobe.com 的 邮箱 中 ， 则 这 样 追 加 : 
# General redirections for pseudo accounts. 
XXOO: root 
顺利 编辑 /etc/aliases 文件 后 需要 执行 命令 ”newaliases“， 这 样 追加 的 用 户 别名 才能 立即 生效 ， 然 后 尝试 发 送 邮件 。 


doo: 这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。 - 邮件 (HTMU (= | 日 


邮件 | 插入 选项 设置 文本 格式 


[a 
D: 
司 


WW J (mr uj*€-AÀ-| 





mM “ 普通 文 


| EAO.. | xxoofilinuxprobe. com 


主题 (U): 这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。 








顺利 的 话 会 被 root 用 户 接收 到 。* 











[root& mail ~|# mail 

Heirloom Mail version 12.5 7/5/10. Type ? for help. 

"/var/mail/root': 5 messages 1 new 4 unread 

U 1 userelocalhost.com Fri Jul 10 09:58 1631/123113 "[abrt] full crash report" 

U 2 Anacron Wed Aug 19 17:47 18/629 "Anacron job 'cron.daily' on mail.linuxprobe.com" 

U 3 boss Wed Aug 19 18:44 114/2975 "hello" 

4 boss Wed Aug 19 18:49 117/3242 "你 好 ， 用 户 Bin, " 

>N 5 boss Wed Aug 19 19:18 115/3254 "这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。" 

而 如 果 想 取消 别名 的 话 ， 只 需 编辑 掉 aliases 文件 中 的 用 户 别名 后 执行 newaliases 命令 即 可 ， 很 简单 吧 ~ 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 153€ 使 用 Squid 部 署 代理 缓存 服务 。 


章节 概述 : 

本 章节 从 代理 缓存 服务 的 工作 原理 开始 讲 起 ， 让 读者 能 够 清晰 理解 正 向 代理 (普通 模式 、 透 明 模 式 ) 与 反 向 代理 的 作用 。 
正确 的 使 用 Squid 服务 程序 部 署 代理 缓 存 服务 可 以 有 效 提升 访问 静态 资源 的 效率 ， 降 低 原 服务 器 的 负载 。 

不 仅 如 此 ， 还 为 读者 们 添加 了 对 指定 IP 地 址 、 网 页 关键 词 、 网 址 与 文件 后 缀 的 ACL 访问 限制 功能 的 实验 ， 真 的 很 实用 哦 ~ 


15.1 代理 缓存 服务 


Squid 服务 程序 是 一 款 在 类 Unix 系统 中 最 为 流行 的 高 性 能 代理 服务 软件 ， 通 常会 被 当 作 网 站 的 前 置 缓 存 服 务 ， 用 于 替代 

用 户 向 网 站 服务 器 请 求 页 面 数据 并 进行 缓存 ， 通 俗 来 讲 ，Squid 服务 程序 会 接收 用 户 的 请 求 ， 然 后 自动 去 下 载 指定 数据 

(如 网 页 ) 并 存储 在 服务 器 内 ， 当 以 后 的 用 户 再 来 请 求 相 同 数据 时 ， 则 直接 将 刚刚 储存 在 服务 器 本 地 的 数据 交 给 用 户 ， 
减少 了 用 户 的 等 待 时 间 。 

Squid 服务 程序 配置 起 来 相对 简单 ， 效 率 高 、 支 持 如 HTTP、FTP、SSL 等 多 种 协议 的 数据 缓存 ， 还 支持 基于 ACL 访问 控 

制 列 表 和 ARL 访问 权限 列表 功能 的 内 容 过滤 与 权限 管理 功能 ， 禁 止 用 户 访问 存在 威胁 或 不 适宜 的 网 站 资源 ， 保 证 内 网 安 

全 的 同时 还 整体 的 提高 了 客户 机 的 访问 速度 ， 帮 助 节省 网 络 带宽 ， 尤 其 适合 安装 在 内 存 大 、 硬 盘 转 速 快 的 服务 器 上 。 






从 作用 上 分 为 正 向 代理 和 反 疝 代理 : 
正 向 代理 让 用 户 可 以 通过 Squid 服务 程序 获取 网 站 页 面 等 数据 ， 有 具体 工作 形式 又 分 为 标准 代理 模式 与 透明 代理 模式 。 


标准 正 向 代理 模式 : 
将 网 站 的 数据 缓存 在 服务 器 本 地 ， 提 高 数据 资源 被 再 次 访问 时 的 效率 ， 但 用 户 必需 在 上 网 时 指定 代理 服务 器 的 卫 地 
址 与 端口 号 ， 否 则 将 不 使 用 Squid 服务 。 
透明 正 向 代理 模式 : 
功能 作用 与 标准 正 向 代理 模式 完全 相同 ， 但 用 户 不 需要 指定 代理 服务 器 的 IP 地 址 与 端口 号 ， 所 以 这 种 代理 服务 对 于 
用 户 来 讲 是 完全 透明 的 。 


nnam CL 


P. n mm. ( Internet ) 
(squidHR $5 28) CO" ead 





Anf... 








Bg 
| 


反 向 代理 则 是 为 了 降低 网 站 服务 器 负载 而 设计 的 ， 反 向 代理 服务 器 负责 回应 用 户 对 原始 网 站 服务 器 的 静态 页 面 请 
求 ， 即 如 果 反 向 代理 服务 器 中 正巧 有 用 户 要 访问 的 静态 资源 则 直接 将 缓存 的 内 容 发 送 给 用 户 ， 减 少 了 对 原始 服务 恬 
的 部 分 数据 资源 请 求 。 
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p" o N \ - 7 anim 
(Squid 服 务 器 ) ( Internet ) 
f | > iN * V ben E ’ 


















Bg 


所 以 对 于 正 向 代理 一 般 用 于 企业 的 局 域 网 内 ， 让 员工 通过 Squid 服务 程序 来 代理 上 网 ， 不 但 能 节省 网 络 带 宽 资 源 还 
能 限制 访问 的 页 面 ， 而 反 向 代理 则 大 多 搭建 在 网 站 架构 中 ， 用 于 缓存 网 站 的 静态 数据 (如 图 片 、HTML 静态 网 页 、 
JS. CSS 框架 文件 等 )。 


15.2 配置 Squid 服务 程序 


本 小 节 将 为 大 家 演示 如 何 部 署 Squid 服务 的 正 向 代理 与 反 向 代理 ， 首 先 我 们 需要 再 添加 一 块 网 卡 设备 桥接 模 





A): 

设备 摘要 设备 状态 
mS 内 存 1.5 GB L 已 连接 (C) 

LJ 处 理 器 4 加 | 启动 时 连接 (D) 
CA ESCSI) 20 GB (预先 分 村) 

*jCD/DVD (SATA) 正在 使 用 文件 F:\ 神 像 交 件 \RHEL-ser... 网 络 连 接 
FEIER 仅 主 机 模式 © 桥接 模式 (B): 直接 连接 物理 网 络 
: LERNEN E esline p US (P) 








图 显示 器 自动 检测 
D NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 
D 人 避 主 机 模式 (H): 与 主机 共享 的 专用 网 络 
D 自 定义 ( 山 ): 特定 虚拟 了 网络 

VMnet0 (自动 桥接 ) 
2 LAN 区 段 (L): 











[LAN 区 段 (5).… | | 高 级 (W)..， | 


按照 下 面 的 表单 配置 IP 地 址 : 





主机 名 称 操作 系统 IP 地 址 
服务 端 2r''8 RHEL7 操作 系统 外 网 卡 :桥接 DHCP 模式 


内 网 卡 :192.168.10.10 


用 户 端 微软 Windows7 操作 系统 192.168.10.20 


测试 是 否 能 够 访问 互联 网 : 

[root@linuxprobe Desktop|# ping www.linuxprobe.com 

PING www.linuxprobe.com (162.159.211.33) 56(84) bytes of data. 
64 bytes from 162.159.211.33: icmp_seq=1 ttl=45 time=166 ms 
64 bytes from 162.159.211.33: icmp. seq-2 ttl=45 time-168 ms 
64 bytes from 162.159.211.33: icmp. seq-3 ttl=45 time-167 ms 
64 bytes from 162.159.211.33: icmp. seq-4 ttl=45 time-166 ms 
AC 


--- www linuxprobe.com ping statistics --- 
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4 packets transmitted, 4 received, 0% packet loss, time 3006ms 
rtt min/avg/max/mdev = 166.361/167.039/168.109/0.836 ms 
安装 squid 服务 程序 : 

[root@linuxprobe ~|# yum install squid 


Loaded plugins: langpacks, product-id, subscription-manager 
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Installing: 
squid x86, 64 1:3.3.8-1 1.el7 rhel7 2.6 M 
PEPEE Ee eene nne 
Complete! 
先 别 着 急 配置 哦 ! 我 们 先 来 了 解 下 squid 服务 程序 的 主要 文件 吧 : 
主 服 务 程 序 /usr/sbin/squid 
配置 文件 目录 /etc/squid 
主 配 置 文件 /etc/squid/squid.conf 
访问 日 志文 件 /var/log/squid/access.log 
缓存 日 志文 件 /var/log/squid/cache.log 
而 squid 服务 程序 中 常用 的 参数 有 : 
参数 E Fi 
http port 3128 监听 的 端口 号 。 
cache_mem 64M 内 存 缓冲 区 的 大 小 。 
cache. dir ufs /var/spool/squid 2000 16 256 硬盘 缓冲 区 的 大 小 。 
cache, effective user squid 设置 缓存 的 有 效用 户 。 
cache_effective_group squid 设置 缓存 的 有 效用 户 组 。 
dns_nameservers IP 地 址 一 般 不 设置 ， 用 服务 局 默 认 的 DNS 地 址 。 
cache, access log /var/log/squid/access.log 访问 日 志文 件 的 保存 路 径 。 
cache. log /var/log/squid/cache.log 缓存 日 志文 件 的 保存 路 径 。 
visible_hostname linuxprobe.com 设置 Squid 服务 主机 的 名 称 。 


局 动 squid 服务 程序 并 加 入 到 开机 启动 项 : 


[root@linuxprobe ~|# systemctl restart squid 
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[root&linuxprobe ~|# systemctl enable squid 
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In -s /usr/lib/systemd/system/squid.service /etc/systemd/system/multi-user.target.wants/squid.service 


15.2.1 标准 正 向 代理 


当 Squid 服务 程序 顺利 启动 后 ， 默 认 即 可 使 用 标准 正 向 代理 模式 啦 ， 在 Windows7 系统 中 打开 浏览 器 后 依 


[Ex | 
pr 


MB intermet Explorer 无 去 要 示 该 网 页 - Windows Internet Explorer 


Qo ge stp Aecalhost, 


Ww €NE da equus gum 


Æ Internet Explorer WERTET 





"COUR * 





"| | x [B so 





© SSEM 





d SENEC. 


à A 3 fu 重 扬 条 开 上 次 浏 涛 会友 (9) 
e» Internet Explorer 无 法 显示 该 网 页 RA 


7 Sake.) 
dj 管理 让 转机 


Q ENIEM 


打开 Windows7 系 统 的 浏览 器 后 依次 点 击 : B 
waeumomi 


司 EET [251 
imeem 
ROSENDO 


le 开发 人 员工 具 (D) F12 


Wo SS) 


€^ internet WIRO) 





在 网 络 选项 中 点 击 “ 连 接 ” 一 “局 域 网 设置 ”: 
' Internet EJ p” | € e 








个 
常规 [安全 [mu | 内容 | 连接 | 程序 [高 级 | 








Ee gos Internet 和 连接 ， 单 击 “ 设 
按 号 和 虚拟 专用 网 络 设置 














果 要 为 入 接 本 置 代 理 服 务 器 ， 请 选择 “ 设 im) 


© Motte ends C) 
当前 默认 连接 : 无 IREA AA 0) 


局 域 网 UMRE ©) 
Lu ETUR TESA |E O 


Sn... 
添加 VPN C)... 


HS Œ)... 


EGIARTE S W) 
TERANE (0) 














应 用 (4) 
填写 Squid 服务 器 的 IP 地 址 与 端口 号 


Internet 选项 
局 域 网 (LAN) 设 置 


自动 配置 

自动 配置 会 材 盖 手动 设置 。 要 确保 使 用 手动 设置 ， 请 禁用 自动 配置 。 
ERES e. 0: 

站 使 用 自动 配置 有 本 (8) 


HEHE Œ) 


代理 服务 器 
回 为 LAN 使 用 代理 服务 器 (这 些 设置 不 用 于 捷 号 或 VPN 连接 ) QD 


Jb): 192.168.10.10 端口 (I): 3128 








站 跳 过 本 地 地 址 的 代理 服务 器 C) 


Dsum. 对 于 毛 设 (HRED 














尝试 访问 网 站 : 


(b 
"m-Bg- | à - mn- sen TETO: 


第 245 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


Ø ConofimIz 23) -ENUEI ERPER - Windons imernwt Explorer DET 
c 万 = 








mamn — 








£-C*RE E- EA 


Squid 服务 程序 默认 会 占用 3128, 3401 5. 4827 端口 ， pr nd 口号 修改 为 其 他 的 哦 ， 编辑 配置 文件 (修改 第 59 行 ): 
[root@linuxprobe ~|# vim /etc/squid/squid.conf 

http_port 10000 

使 用 setsebool 命令 来 限制 squild 服务 只 能 使 用 自 定义 的 端口 号 
[root@linuxprobe ~|# setsebool -P squid connect. any O 

查看 当前 SElinux 允许 的 服务 端口 : 

[root@linuxprobe -]f X semanage port -| | grep -w -i squid, port t 
squid, port t tcp 3128, 3401, 4827 

squid, port t udp 3401, 4827 

添加 SELinux 对 10000 端口 的 允许 策略 : 

[root@linuxprobe ~|# semanage port -a -t squid. port t -p tcp 10000 
[rootelinuxprobe ~]# semanage port -l | grep -w -i squid port t 

squid, port. t tcp 10000, 31268, 3401, 4827 
squid, port t udp 3401, 4827 

重启 squid 服务 程序 后 即 可 生效 : 


[root&linuxprobe ~|# systemctl restart squid 
15.2.2 透明 正 向 代理 


Doc 正 向 代理 ， 需 将 用 户 的 网 关 IP 指向 Squid 服务 器 ， 而 此 后 便 无 需 再 修改 浏览 上 咀 选项 : 





Internet 协议 版 本 4 (TCP/IPvA) Et 





er 
FEREKA ERRIA RESM M RE. T O 


© 自动 获得 IP 地 址 0) 
© 使 用 下 面 的 IP Hh: 
IP Hh: 

子 网 撞 码 QD: 
默认 了 网关 M): 








自动 获得 DNS 服务 发 地 址 Œ) 
© 使 用 下 面 的 DNS 服务 器 地 址 QD: 
首选 DNS ARAE Œ): 
备用 DNS 服务 器 QD: 








门 退出 时 验证 设置 Q) 

















尝试 访问 网 站 失败 : 


le DE 无 法 暗示 该 网 页 - Windows Internet Explorer |. | C). immi] 
^ 








linuxprobe.com | 好 x E sig P 
w Ok ý eas EDONUGREEAY 
@ intenet Explorer PETAT A- A-224- mHe- 22597 IRO- €- 
"m Internet Explorer 无 法 显示 该 网 页 
STEEL FS 


© BSAA 
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在 命令 提示 符 中 ping 下 域名 : 
CAUsersMinuxprobe»ping www.linuxprobe.com 
Ping 请 求 找 不 到 主机 www.linuxprobe.com。 请 检查 该 名 称 ， 然 后 重 试 。 
原来 Squid 服务 程序 是 不 支持 DNS 解析 代理 的 ， 这 个 就 需要 配置 SNAT A. WRS SNT 技术 了 ， 没 关系 ， 回 去 
再 看 下 防火 墙 的 章节 吧 ，-O 参数 后 面 写 外 网 出 口 的 网 卡 名 称 : 
[root@linuxprobe ~|# iptables -t nat -A POSTROUTING -p udp --dport 53 -o eno33554968 -j MASQUERADE 
开启 Ipv4 的 转发 策略 : 
[root&linuxprobe ~|# echo "net.ipv4.ip forwardz1" >> /etc/sysctl.conf 
[root&linuxprobe ~|# sysctl -p 
net.ipv4.ip_forward = 1 
再 次 尝试 Ping 下 网 站 域名 : 
C:\Users\linuxprobe>ping www.linuxprobe.com 
正在 Ping www.linuxprobe.com [116.31.127.233] 具有 32 字 节 的 数据 : 
116.31.127.233 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4， 已 接收 -0, £X = 4 (100% 丢失 )， 


不 错 哦 ~ 现在 DNS 已 经 能 够 正常 工作 啦 ， 来 配置 透明 正 向 代理 吧 ， 编 辑 配 置 文件 : 

[root@linuxprobe ~|# vim /etc/squid/squid.conf 

// 在 第 59 行 后 面 添加 参数 transparent 

http port 3128 transparent 

判断 配置 文件 是 否 有 错误 (会 有 很 多 输出 值 ) : 

[rootelinuxprobe ~|# squid -k parse 

重新 启动 squid 服务 程序 : 

[root&linuxprobe ~|# systemctl restart squid 

将 用 户 对 80 端口 的 请 求 转发 至 3128 端口 : 

[rootelinuxprobe ~|# iptables -t nat -A PREROUTING -p tcp -dport 80 -j REDIRECT —to-port 3128 
[root&linuxprobe ~|# iptables -t nat -R PREROUTING 1 -i eno3355490668 -p tcp --dport 80 -j REDIRECT --to-port 5128 
快 去 客户 机 尝试 访问 网 站 吧 : 


条 《Liner 就 法 这 么 学 》 - 必 识 的 Linene 系 统 与 灯 得 认证 自学 手册 - Windows Internet Explorer ic) MEER 
Goo. An inuxprobe.com, -[* Tx |i oo Yes 
IHA RAE ESV) SEA ILAT) #DH) 

*w Sak gy BINRY e) anem Y 

f inghit) - GESini.. "o E. 4-- WEBD- ees IRO- 6- 














| 作者 简介 与 若 书 的 过 程 : 

ERFARNA ST nadar Rr , Semae1992: n SEE SI T Linuxeie it P383, 

已 在 2012 年 名 下 杂 检 工作 妇 RHCE 8 ,今年 又 分 别 考 下 RHCE 7462: 55£1 85815981 IFRHCA, 

SXDKTEIRBBSCR—E. NOT,SETSTSMOCRMAE. PETDER SR nu F 

129—& E3OBCE A, , Se gia itm E HH HORE , AR at efe, 
E x EMG MEME 全 号 心 克 斗 去 本 直流 

X3$T201558558 15 $1839 Vu HE RERB (ul ) ——59 7 urea Cert pe RT ROISES ST 
分 HRe ， 然后 各 可 成 ， 钛 才 而 鸡 。 魏 举 付 册 不 亚 子 任何 人 的 的 力 ， 与 可 连 的 议 洛 人 一 起 尝 三 、 先 其 这 本 书 轻 . 
M suos 
| T3. MUER nuit RD BX S3 Sb si 
| TBpeeSROESEEDEEUER, ORBIS Rub m £ 
| 主 下 的: mz cuem cnim = 


15.2.2 KERE 


反 向 代理 的 作用 是 将 网 站 中 的 静态 资源 本 地 化 ， 也 就 是 将 一 部 分 本 应 该 由 原始 服务 器 处 理 的 请 求 交 给 Squid 缓存 服务 处 理 。 
编辑 Squid 服务 程序 的 配置 文件 ( 正 向 代理 与 反 向 代理 不 能 同时 使 用 ， 请 还 原 您 前 面 修改 过 的 参数 ); 


[root@linuxprobe ~|# vim /etc/squid/squid.conf 
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// 第 59 行 ， 修 改 格式 为 : http. port Squid 服务 器 地 址 :监听 端口 号 vhost 
http port 192.168.10.10:80 vhost 
//& 60 行 ， 添 加 格式 为 : cache peer 原 网 站 服务 器 地 址 parent 服务 器 端口 号 0 originserver 
cache peer 106.184.1.125 parent 80 O originserver 








然后 使 用 客户 机 去 访问 网 站 : 
QU- | 加 http://192.168.10.10 -|44| x ||P Bing p ~| 
A 收藏 大 | da p 建议 网 站 w p) angene v 


E 《Linux 就 这 这么 学 》 - 必 读 的 Linux 系 统 与 红 却 . A- A-2 A~ m7 安全 S~ IRO- @®- 








P PFENMAU E Timmai, RFAAI RET Lim RAH o | 
已 在 2012 年 者 下 红 帽 工程 师 RHCE 6， 今 年 又 分 别 考 下 RHCE 7 版 本 与 红 帼 架构 师 认 证 RHCA。 | 








深 知 水 平 有 限 且 技术 一 般 ， 若 没有 得 蔓 于 良 师 蔚 友 的 无 私 帮 助 ， 肯 定 不 能 如 此 顺利 的 完成 Limux 学 业 。 | 
同样 作为 一 名 普通 的 技术 人 ， 我 亲身 经 历 过 半夜 还 在 培训 班 的 心酸 ， 体 验 过 拥堵 6 小 时 车 程 的 无 奈 。 
ES 了 能 够 帮助 读者 们 快速 入 门 Linux 系 统 ， 此 刻 我 正 怀揣 着 一 颗 志 亚 的 心 ， 竟 尽 全 身心 的 斗志 将 书 编写 


本 书 于 2015 年 的 春节 前 夕 起 笔 ， 预 计 年 未 截稿 (初版 ) 一 一 为 了 保证 每 篇 文章 的 质量 所 以 很 可 能 会 写 不 
完 。 


A alah AaS EAn. DERRRDIVRSET EEBLAB)SS7), STRMA- ERS, SUERUUR 


因为 《Linux 就 该 这 么 学 》 的 网 站 框架 使 用 了 动态 资源 ， 所 以 现在 看 起 来 会 有 些 乱 乱 的 。 


15.3 ACL 访问 控制 


Squid 服务 的 ACL 访问 控制 是 非常 有 用 的 功能 ， 可 以 根据 特定 条 件 来 进行 数据 缓存 或 限制 用 户 的 访问 ，ACL 元 素 的 
定义 语法 为 : 

acl aclname acltype string 

acl aclname acltype "file" 

src 定义 来 源 地 址 ( 即 用 户 的 客户 机 IP 地 址 ) : 

acl aclname src ip-address/netmask 

acl aclname src addr1-addr2/netmask 

dst 定义 目标 地 址 《 即 用 户 请 求 的 网 站 IP 地址) 

acl aclname dst ip-address/netmask 

port 用 于 指定 访问 端口 : 

acl aclname port 80 1024 

acl aclIname port 0-1024 

url, regex 用 于 限制 网 址 中 的 关键 词 : 

acl aclname url regex [-i] pattern 

proto 用 于 定义 要 代理 的 协议 : 

acl aclname proto HTTP FTP 

method 用 于 指定 请 求 的 方法 : 

acl aclname method GET POST 

访问 控制 列表 由 多 个 规则 条 目 组 成 的 ， 根 据 指 定 的 条 件 来 允许 或 限制 访问 请 求 ， 匹 配 顺序 会 由 上 至 下 ， 一 旦 匹配 则 立 
即 结束 ， 通 常会 在 控制 列表 的 最 下 面 写 上 “deny all” 或 者 “allow all" 3K3 fe, 3c [& E, 
仅 允 许 192.168.10.20 的 主机 使 用 本 地 Squid 服务 ， 拒 绝 其 余 主 机 : 

acl client src 192.168.10.20 
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http. access allow client 


http access deny all 





E s MERA ( URL ) EARN - Windows Internet Explorer eg zx 


OO- m 









PRERE M): 
属性 信 
连接 桂 定 的 DIS fes 

描述 





Intel(R) PR0/1000 MT Network Conr 
00-0C-29-02-15-£6 
-m 


| EE DHCP L 
IPv4 Hit 192, 168. 10. 30 
^U rm TEREE" 


sistit ene URL EATERS: IAIA tX 本 适合 允许 策略 ' 所 以 被 拒绝 | 
访问 被 拒绝 。 ZBR jietBI0S ove... £ 


: | 连接 -本 地 I?w6 Hit — £660::101T:342d: d4bb: 963511 
Access control configuration prevents your re IPv6 SH 


if you feel this is incorrect. IPM DNS RES £«c0:0-0: FEFE: :1%1 


组 存 服务 器 的 管理 员 root. £ec0:0:0: FEEF: :2%1 
Eec0:0:0: ££££: :3%1 














E & linuxprobe.com (squid/3.3.8) 生成 Sat, 31 Oct 201 











@ Internet | SART: 启用 


拒绝 客户 机 使 用 代理 服务 器 访问 带 有 关键 词 “linux” 的 网 站 : 
acl deny keyword url regex -i linux 


http access deny deny. keyword 











(di te 地 所 请 求 的 网 址 (URL) 无 法 获取 - Windows Internet Explorer lea] x D 
ODO- http:// wwwlinuxprobe.com/ Y 好 | x [IB 2ng pr 


dr hk | ds p 建议 网 站 由 网 页 快 汛 库 
f iex: 你 所 语录 的 网 址 ( URL ) 无 法 获取 Ti A- D-E 49. MP EA IBO- 6- 


ERROR 因为 包含 关键 词 linux， 所 以 又 被 拒绝 。 


Q 
£ The requested URL could not be retrieved 





& 百度 一 下 ,你 就 知道 - Windows Internet Explorer 


zi [i] ps baidu.com/ 


desde | ds EDESEEY E) ATARE Y 
E) BE—T . (acad 


























4E 28.2 PSU FLA A d WR] (Linux 就 该 这 么 学 》 的 网 站 : 
acl deny. url url regex http://www.linuxprobe.com 


http access deny deny url 
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(e gj xy 


E tix: 您 所 请 求 的 网 址 ( URL ) 无 法 获取 - Windows Internet Explorer 
QUO © [4B hapy//wwwjinuxprobe comj | 
Aa | dy prany p) 网 页 快 汛 库 
f ix: tenes RISE (URL ) EARR 


Bi sng Pr 


"T E)-0 - NET 安全 (5)v IBO)- A 

















mm ERROR 
^ —* The requested URL could not be retrieved 
Blglwww.lin orobegTBZE 





" tüusiBibbs.tir 
o. = | nuxprobe.com/*orum.php 
dr | da PIHUULY PIRZGGUE Y 
M Linux 扩 未 园 -专注 于 学 习 Linux 技 术 与 红 柱 RHCE.。 








Linux 教 程 补偿 计划 
数 起 与 措 针 的 概念 浅 析 推广 向 请 
EE RAZE 
ECTKVMgesECentOS 64! ! ! ! RASA 
Linux HENEB SEE 10 RS SSMS ... 
Linuxift Arot AALER ERBAA 推广 激活 
Linux 命 令 详解 【起 学 笔 沁 ， 全 来 . Linux&sftRootE GRE RE(RHELSGA .. 
Linux RRt E GER (RHEL6& Linn ERSS 
@ internet | FAES: 启用 fà * * 10096 


禁止 客户 机 使 用 代理 服务 器 下 载 以 mp3 与 rar USA C: 


acl badfile urlpath_regex -i \.mp3$ Vrar$ 
http_access deny badfile 





N - 
QUO » | hup://wwwjiinuxprobecom 









次 收藏 天 | 次 PELS 了 PRATAR Y 





A (inox AR) - 必 访 的 Linux 系 统 与 红 输 … 


作者 简介 与 著 书 的 过 程 : 
本 书 作者 刘 运 从 事 于 |inux 运 维 技 术 行业 ， 喜 早 对 国 兴 趣 的 驱使 深 触 到 了 linux 系 统 并 开始 学 习 。 


ZSV) ”收藏 夫 (A) IAT) “帮助 (H) 
w 收藏 天 | 次 PELRA p) ATARE Y 


| d ~ 页 面 (P) x 安全 (S) IRO €- 








4 ur: 你 所 请 水 的 网 址 ( URL ) DERN 


ERROR ”所 有 以 mp3 与 rar 为 后 绎 的 文件 都 会 被 拒绝 访问 。 


EON ; 
^7 7 —* The requested URL could not be retrieved 








当 尝 i 式 取 回访 URL Mesir mk: http://www.linuxprobe.com/music.mp3 





| 





包括 使 用 所 选项 的 命令 。 而 
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第 16 章 使 用 iSCSI 服务 部 署 网 络 存储 。 


章节 概述 : 

本 章节 将 分 析 SCSI 与 iSCSI 技术 结构 的 不 同 ， 了 解 iSCSI 技术 的 优势 、SAN 存储 网 络 技术 结构 以 及 iSCSI HBA 卡 的 作用 。 

完整 演示 部 署 iSCSI target 服务 程序 的 方法 流程 : 创建 RAID 阵列 (5) 后 使 用 targetcli 命令 发 布 到 iSCSI 存储 目录 并 创建 ACL 列表 。 
配置 使 用 iSCSI initiator 服务 程序 发 现 、 连 接 并 使 用 iSCSI 存储 设备 ， 最 后 编辑 fstab 文件 将 存储 设备 设置 为 开机 启动 。 


16.1 网 络 存储 技术 
传统 的 SCSI 小 型 计算 机 系统 接口 (Small Computer System Interface) 技 术 是 存储 设备 最 基本 的 标准 协议 ， 但 通常 需 


要 设备 互相 靠近 并 用 SCSI 总 线 链接 ， 因 此 受到 了 物理 环境 的 限制 。 
iSCSI 小 型 计算 机 系统 接口 (EN Internet Small Computer System Interface) 则 是 由 IBM 公司 研究 开发 用 于 实现 在 





IP 网 络 上 运行 SCSI 协议 的 新 存储 技术 ， 即 能 够 让 SCSI 接口 与 以 太 网 技术 相 结 合 ， 使 用 iSCSI 协议 基于 以 太 网 传送 

SCSI 命令 与 数据 ， 克 服 了 SCSI TRASE 车 接 存 储 设 备 的 局 限 性 ， 使 得 我 们 可 以 跨越 不 同 的 服务 器 共享 存储 设备 ， 并 

可 以 做 到 不 停机 状态 下 扩展 存储 容 

SAN 存储 区 域 网 e Area a Network AE iSCSI 存储 协议 ， 采 用 高 速 光 针 通 道 传输 存储 数据 的 服务 
程序 。 





本 图 为 SAN 结构 拓扑 

服务 器 会 基于 iSCSI 协议 将 SCSI 设备 、 命 令 与 数据 打包 成 标准 的 TCP/IP 包 然 后 通过 IP 网 络 传输 到 目标 存储 设备 ， 而 远 端 存储 

设备 接收 到 数据 包 后 需要 基于 iSCSI 协议 将 TCP/IP 包 解 包 成 SCSI 设备 、 命 令 与 数据 ， 这 个 过 程 无 疑 会 消耗 系统 CPU 资源 ， 因 
此 我 们 可 以 将 SCSI 协议 的 封装 动作 交 由 独立 的 iSCSI HBA 硬件 卡 来 处 理 ， 减 少 了 对 服务 器 性 能 的 影响 。 


- 


35. 


x 


Qi a £g m 


S C 


"4 Aie s? QU 
i M o. SW 





本 图 中 设备 为 iSCSI HBA 卡 
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但 坦白 来 讲 iSCSI 技术 还 是 存在 诸多 问题 的 ， 如 距离 与 带宽 之 间 的 矛盾 关系 ， 虽 人 然 SCS 满足 了 数据 长 距离 传输 的 需求 ， 
但 现在 广域网 的 带宽 还 是 不 够 理想 ，IP 网 络 的 速率 和 落 迟 都 是 SCSI 传输 数据 的 巨大 障碍 。 


16.2 部 署 iSCSI 存储 


iSCSI 的 工作 方式 分 为 服务 端 (target) 与 客户 端 (initiator): 
服务 端 : 即 存放 硬盘 或 RAID 设备 的 存储 端 ， 目 的 是 为 客户 端 提供 可 用 的 存储 。 
客户 端 : 使 用 服务 端的 服务 器 主机 。 

本 实验 需要 两 台 虚 拟 主机 来 完成 ， 分 别 是 : 


主机 名 称 操作 系统 IP 地 址 
iscsi 服务 端 2r'"H RHEL7 操作 系统 192.168.10.10 
iscsi 客户 端 2r'"H RHEL7 操作 系统 192.168.10.20 


贺 辑 单元 LUN( 即 Logical Unit Numben 是 使 用 iSCSI 协议 中 的 重要 概念 ， 因 为 当 客户 机 想 要 使 用 服务 端 存 储 设备 时 
都 必需 输入 对 应 的 名 称 (Target ID)， 而 一 个 服务 端 可 能 会 同时 提供 多 个 可 用 的 存储 设备 ， 于 是 便 用 LUN 来 详细 的 描 
述 设 备 或 对 象 ， 同 时 每 个 LUN Device 可 能 代表 一 个 硬盘 或 RAD 设备 ，LUN 的 名 称 由 用 户 指 定 。 


16.2.1 配置 iSCSI 服务 端 


第 1 步 :准备 作为 LUN 发 布 的 存储 设备 。 


在 前 面 的 存储 结构 章节 中 学 习 了 使 用 mdadm 工具 创建 RAD 磁盘 元 余 阵 列 的 方法 ， 筷 记 就 翻 回去 看 下 吧 ~ 
在 虚拟 机 中 再 添加 4 块 硬盘 : 











虚拟 机 设置 tomo m m nu im 
硬件 xxm 
ms T -———Um ~ cdd 
[2 处 理 器 E 
硬盘 (SCSID) adim 此 虚 拨 机 的 内 存 (M): 。 2048.7. MB 
MW z 2(SCSI) 20 GB 
iz 3(SCSI) 20 GB 
EAE 4(SCSI) 20 GB 3GB 
MZ 5 (SCSI) 20 GB 2GB GI 4 
"J CD/DVD (SATA) 正在 使 用 文件 D:WARRHEL-server-... 3 
ERANS 仅 主机 模式 "| fr 
amrm 自动 检测 512 MB EATER 
256 MB 6280 MB 
v 8 建议 内 存 
564 MB 2048 MB 
32 MB * 
日 建议 的 最 小 客户 机 操作 系统 内 存 
16 MB 1024 MB 
8 MB 
4MB 
dy 必须 先 关闭 虚拟 机 ， 才 能 降低 内 存量 。 
Jp 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 "显示 器 "设置 页 面 中 更 羽 此 数量 。 
[ Bis CA).... 称 除 (R 











创建 RAID5 并 设置 1 Se o E e i: 
[rootelinuxprobe ~|# mdadm -Cv /dev/md0 -n 3 -1 5 -x 1 /dev/sdb /dev/sdc /dev/sdd /dev/sde 


mdadm: layout defaults to left-symmetric 


mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 
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mdadm: size set to 20954624K 
mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md0O started. 
查看 RAID 阵列 的 详细 信息 ， 记 录 下 UUD 的 值 : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
/ dev/mdO: 
Version : 1.2 
Creation Time : Thu Sep 24 21:59:57 2015 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 
Total Devices : 4 
Persistence : Superblock is persistent 
Update Time : Thu Sep 24 22:02:23 2015 
State : clean 
Active Devices : 3 
Working Devices : 4 
Failed Devices : O 
Spare Devices : 1 
Layout : left-symmetric 
Chunk Size : 512K 
Name :linuxprobe.com:O (local to host linuxprobe.com) 
UUID : 3370f643:c10efd6a:44e91f2a:20c71f3e 


Events : 26 
Number Major Minor  RaidDevice State 
0 8 16 0 active Sync /dev/sdb 
l 8 22 1 active Sync /dev/sdc 
4 8 48 A active Sync /dev/sdd 
3 8 64 - spare — /dev/sde 
创建 RAID 阵列 配置 文件 : 


[rootelinuxprobe ~|# vim /etc/mdadm.conf 

DEVICE /dev/sdb /dev/sdc /dev/sdd /dev/sde 

ARRAY /dev/mdO UUID-3370f643:c10efd6a:44e91f2a:20c71f3e 
第 2 步 :安装 iSCSI target 服务 程序 : 

[rootelinuxprobe ~|# yum -y install targetd targetcli 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
targetcli noarch 2.1 .fb34-1.el7 rhel7 55k 
targetd noarch 0.7.1-1.el7 rhel7 48 k 
Complete! 


启动 iSCSI target 服务 程序 : 


[root&linuxprobe ~|# systemctl start targetd 
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将 iSCSI target 服务 程序 添加 到 开机 启动 项 : 
[root&linuxprobe ~|# systemctl enable targetd 
In -s /usr/lib/systemd/system/targetd.service' /etc/systemd/system/multi-user.target.wants/targetd.service 
第 3 步 :创建 存储 对 象 。 
targetcli 命令 用 于 管理 iSCSI target 存储 设备 ， 格 式 为 :  "targetcli" 
[root@linuxprobe ~|# targetcli 
Warning: Could not load preferences file /root/.targetcli/prefs.bin. 
targetcli shell version 2.1.fb34 
Copyright 2011-2013 by Datera, Inc and others. 
For help on commands, type "help. 


查看 当前 的 存储 目录 树 : 


/> ls 

E —— ÁO — [... 
apace ESI OT .on [...] 

| 网 人 [Storage Objects: 0| 
Mora eli ito e NEN NER RE [storage Objects: 0| 
| [Storage Objects: 0| 

| o- ramdisk NO [Storage Objects: 0| 
Ge LU DUE Le E [Targets: O] 
四 [Targets: O] 


3t /backstores/block 目录 中 : 

/> cd /backstores/block 

/backstores/block> 

使 用 /dev/md0 创建 设备 diskO: 

/backstores/block> create diskO /dev/mdO 

Created block storage object diskO using /dev/ md0. 


返回 到 根 目录 中 : 

/backstores/block» cd .. 

/backstores» cd .. 

/> 

查看 创建 后 的 设备 : 

/> ls 

E [...] 
O- backstores s mere edita tata Use duet e E [...] 
了 [Storage Objects: 1] 
MEE coc: [/dev/mdO (40.0GiB) write-thru deactivated] 
OTe. wr [Storage Objects: 0| 
| [Storage Objects: 0| 
Te ed [Storage Objects: 0| 
(8 [Targets: O] 
0s loopback Ge taa [Targets: O] 


第 4 步 :配置 iSCSI target 目标 。 
进入 到 iscsi 目录 中 : 


第 254 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
/> cd iscsi 
/iscsi> 
创建 iSCSI target 目标 : 
/iscsi> create 
Created target iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80. 
Created TPG 1. 
依次 进入 到 target 的 luns 目录 中 : 
/iscsi» cd iqn.2003-01 org .linux-iscsi.linuxprobe.x8664:sn.d497c356ad80/ 
/iscsi/iqn.20....d497c356ad80» Is 
o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 .… [TPGs: 1] 


De'tD. To testante aire diesen [no-gen-acls, no-auth| 
SO [ACLs: 0] 
站 全 | 全 [LUNs: 0] 
OV DOFalSas ssi eet a capt Portals: 0] 


/iscsi/iqn.20...d497c356ad80» cd tpg1/ 
/iscsi/iqn.20...c356ad80/tpgl1» cd luns 
/iscsi/iqn.20...d80/tpg1/luns» 

创建 LUN 设备 : 

/iscsi/iqn.20...d80/tpg1/luns» create /backstores/block/diskO 
Created LUN O. 

第 5 步 : 设置 访问 控制 列表 。 

切换 到 acls 目录 中 : 

/iscsi/iqn.20...d80/tpg 1/luns> cd .. 
/iscsi/iqn.20...c356ad80/tpg1> cd acls 

创建 访问 控制 列表 : 

/iscsi/iqn.20...d80/tpg1/acls> create iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client 
Created Node ACL for iqn.2003-01 .org.linux-iscsilinuxprobe.x8664:sn.d497c356ad80:client 
Created mapped LUN O. 

切换 到 portals 目录 中 : 

/iscsi/iqn.20...d80/tpg 1/acls> cd .. 
/iscsi/iqn.20...c356ad80/tpg1» cd portals 

添加 允许 监听 的 IP 地 址 : 

/iscsi/iqn.20.../tpg1/portals» create 192.168.10.10 

Using default IP port 3260 

Created network portal 192.168.10.10:3260. 


查看 配置 概述 后 退出 工具 : 
/iscsi/iqn.20.../tpg1/portals» ls / 
E re [5] 
o- backstores................. [...] 
| OS Dloe Kk siii [Storage Objects: 1] 
| | o- diskO ................. |/dev/mdO (40.0GiB) write-thru activated] 
| os fileio. ne [Storage Objects: 0| 
| Os DSCSL. ooo [Storage Objects: 0| 


l6 fattidis Kk sseni [Storage Objects: 0| 
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CS [Targets: 1] 
| o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 .... [TPGs: 1] 
| OAS l cett [no-gen-acls, no-auth| 
| EN SNR T [ACLs: 1] 
| | o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client [Mapped LUNs: 1] 
| | mapped un 32e ce REDE [lunO block/diskO (rw)] 
OS IU TIS ote one [LUNSs: 1] 
| | o- lunO .............. [block/diskO (/dev/md0)] 
| o- portals „u.s... [Portals: 1] 
| o- 192.168.10.20:3260 [OK] 
o- loopback .................. [Targets: 0| 
/> exit 


Global pref auto_save_on_exit=true 

Last 10 configs saved in /etc/target/backup. 

Configuration saved to /etc/target/saveconfig.json 

第 4 步 :创建 防火 墙 允许 规则 : 

[root@linuxprobe ~|# firewall-cmd --permanent --add-port=3260/tcp 
success 

[root@linuxprobe ~|# firewall-cmd --reload 


SUCCESS 


16.2.2 配置 iSCSI 客户 端 


首先 检查 能 够 与 iscsi 服务 端 通信 : 

[root@linuxprobe ~|# ping -c 4 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.959 ms 
64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.469 ms 
64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.465 ms 
64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.277 ms 


--- 192.168.10.10 ping statistics --- 

4 packets transmitted, 4 received, 096 packet loss, time 3002ms 

rtt min/avg/max/mdev = 0.277/0.542/0.959/0.253 ms 

2r 8 RHEL7 系统 已 经 默认 安装 了 iscsi 客户 端 服务 程序 : 

[root@linuxprobe ~|# yum install iscsi-initiator-utils 

Loaded plugins: langpacks, product-id, subscription-manager 

Package iscsi-initiator-utils-6.2.0.873-21.el7.x86. 64 already installed and latest version 
Nothing to do 

编辑 的 iscsi 客户 端 名 称 文件 : 

该 名 称 是 initiator 客户 端的 唯一 标识 , 读者 可 以 按照 我 的 方法 修改 ,也 可 以 用 iscsi-iname 命令 随机 生成 ~ 都 可 以 的 。 
[root@linuxprobe ~|# vim /etc/iscsi/initiatorname.iscsi 

InitiatorName-iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client 
重启 iscsi 客 尸 端 服务 程序 : 
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[root@linuxprobe ~|# systemctl restart iscsid 
将 iscsi 客户 端 服务 程序 添加 到 开机 启动 项 中 : 
[root@linuxprobe ~|# systemctl enable iscsid 
In -s /usr/lib/systemd/system/iscsid.service' /etc/systemd/system/multi-user.target.wants/iscsid.service 
RIL iscsi 服务 端的 可 用 存储 设备 : 
iscsiadm 命令 用 于 管理 (插入 、 查 询 、 更 新 或 删除 ) iSCSI 数据 库 配 置 文件 的 命令 行 工 具 ， 格 式 见 下 面 演示 。 
[root@linuxprobe ~|# iscsiadm -m discovery -t st -p 192.168.10.10 
192.168.10.10:3260,1 iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 
连接 iscsi 服务 端的 可 用 存储 设备 : 
[root@linuxprobe ~|# iscsiadm -m node -T iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c556ad80 -p 
192.168.10.10 --login 
Logging into [iface: default, target iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80, portal: 
192.168.10.10,3260] (multiple) 
Login  to[iface: default, target  iqn.2003-01.org.linux-iscsilinuxprobe.x8664:sn.d497c356ad80, portal: 
192.168.10.10,3260] successful. 
此 时 便 多 了 一 块 硬盘 设备 : 
[root@linuxprobe ~|# file /dev/sdb 
/ dev/sdb: block special 
格式 化 、 挂 载 后 查看 容量 信息 : 
[root@linuxprobe ~|# mkfs.xfs /dev/sdb 
log stripe unit (524288 bytes) is too large (maximum is 256KiB) 
log stripe unit adjusted to 32KiB 
meta-data-/dev/sdb isize-256 agcount=16, agsize-654720 blks 
- sectsz-512 attr=2, projid32bit-1 


= CrC=U 

data = bsize=4096 blocks=10475520, imaxpct-25 
= sunit-128 swidth-256 blks 

naming . -version 2 bsize-4096  ascii-ci-O ftype-O 

log -internal log bsize-4096 . blocks-5120, version-2 


- sectsz-512  sunit-8 blks, lazy-count-1 
realtime -none extsz-4096 blocks=0, rtextents-O 
[rootelinuxprobe ~|# mkdir /iscsi 
[rootelinuxprobe ~|# mount /dev/sdb /iscsi 
[rootelinuxprobe ~|# df -h 


Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel- root 18G 3.4G 15G 2096/ 

devtmpfs 734M O 734M 0O% /dev 

tmpfs 742M 176K 742M  196/dev/shm 
tmpfs 742M 8.8M 734M 2%/run 

tmpfs 1742M O 742M 0O% /sys/fs/cgroup 
/dev/srO 3.56 3.5G 0 10096 /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 

/ dev/sdb 40G | 33M 40G 16 /iscsi 


查看 设备 的 UUID f&: 
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[rootelinuxprobe ~]# blkid | grep /dev/sdb 

/ dev/sdb: UUID-"eb9cbf2f-fce8-4 1 3a-b7 70-8bOf243e8ad6" TYPE="xfs" 

设置 为 开机 后 自动 挂 载 时 因为 ISCSI 服 务 程序 基于 IP 网 络 传输 数据 , 所 以 我 们 必需 在 fstab 文件 中 添加 参数 _netdev， 
代表 网 络 联通 后 再 挂 载 : 

[rootelinuxprobe ~|# vim /etc/fstab 

UIDzeb9cbf2f-fce8-4 1 3a-b7 70-8bOf243e8ad06 /iscsi xfs defaults, netdev O O 


第 258 页 


VN NON 


€ 173 使 用 OpenLDAP 部 署 目录 服务 。 


章节 概述 : 
本 章节 将 理解 目录 服务 的 概念 ， 学 习 OpenLdap 服务 程序 与 TLS 加 密 协 议 的 部 署 方法 ， 并 自动 挂 载 用 户 目录 。 
通过 部 署 目录 服务 实现 对 系统 帐户 的 集中 式 管理 , 相 比 于 X.500 协议 具有 更 快 的 查询 速度 、 更 少 的 消耗 资源 等 优势 。 


17.1 了 解 目录 服务 


回忆 前 面 所 学 的 章节 ， 我 们 发 现 其 实 目录 可 以 被 理解 成 是 一 种 为 查询 、 浏 览 或 搜索 的 数据 库 ， 但 数据 库 又 分 为 了 目录 

数据 库 和 关系 数据 库 ， 目 录 数 据 库 主 要 用 于 存储 较 小 的 信息 〈 如 姓名 、 电 话 、 主 机 名 等 )， 同 时 具有 很 好 的 读 性 能 ， 

但 在 写 性 能 方面 比较 差 ， 所 以 不 适合 存放 那些 需要 经 常 修改 的 数据 。 

目录 服务 则 是 由 目录 数据 库 和 一 套 能 够 访问 和 处 理 数 据 库 信息 的 协议 组 成 的 服务 协议 ， 用 于 集中 的 管理 主机 帐号 密 

码 ， 员 工 名 字 等 数据 ， 大 大 的 提升 了 管理 工作 效率 。 

轻 量 级 目录 访问 协议 LDAP(Lightweight Directory Access Protocol) 是 在 目录 访问 协议 X.500 的 基础 上 研发 的 ， 主 要 的 优势 是 : 

X.500 目录 协议 功能 非常 腔 肿 ， 消 耗 大 量 资源 ， 无 法 做 到 快速 查询 且 不 支持 TCP/IP 协议 网 络 。 

LDAP 采用 树 状 结构 存储 数据 (类 似 于 前 面 学 习 的 DNS 服务 程序 )， 用 于 在 IP 网 络 层面 实现 对 分 布 式 目录 的 访问 和 

管理 操作 ， 条 目 是 LDAP 协议 中 最 基本 的 元 素 ， 可 以 想象 成 字典 中 的 单词 或 者 数据 库 中 的 记录 ， 通 党 对 LDAP 服务 
程序 的 添加 、 删 除 、 更 改 、 搜 索 都 是 以 条 目 为 基本 对 象 的 。 


dc=mydomain,dc=o0rg 





auos — — 


cn-admin ou-marketing ou-network 








cn=linuxprobe cn=evangelion 


LDAP 树 状 结构 存储 数据 

dn: 每 个 条 目的 唯一 标识 符 ， 如 上 图 中 linuxprobe 的 dn 值 是 : 
cn=linuxprobe,ou=marketing,ou=people,dc=mydomain,dc=org 

rdn: 一 般 为 dn 值 中 最 左 侧 的 部 分 ， 如 上 图 中 linuxprobe 的 rdn tÆ: cn-linuxprobe 

base DN: 此 为 基准 DN 值 ， 表 示 顶 层 的 根部 ， 上 图 中 的 base DN 值 是 : dc=mydomain,dc=org 

而 每 个 条 目 可 以 有 多 个 属性 ( 恕 姓名、 地址、 电话 等 )， 每 个 属性 中 会 保存 着 对 象 名 称 与 对 应 值 ，LDAP 已 经 为 运 维 
人 员 对 常见 的 对 象 定义 了 属性 ， 其 中 有 : 


属性 名 称 属性 别名 语法 描述 E (举例 ) 
commonName cn Directory String 名 子 Sean 
surname sn Directory String 姓氏 Chow 


organizationalUnitName ou Directory String 单位 部门) 名 称 IT_SECTION 
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organization O Directory String 组 织 〈 公 司 ) 名 称 linuxprobe 
telephoneNumber Telephone Number 电话 号 码 911 
objectClass 内 置 属性 organizationalPerson 


17.2 目录 服务 实验 


OpenLdap 是 基于 LDAP 协议 的 开源 程序 ， 它 的 程序 名 称 叫做 slapd， 本 次 实验 需要 用 到 两 全 主机: 


主机 名 称 操作 系统 IP 地 址 
LDAP 服务 端 红 帆 RHEL7 操作 系统 192.168.10.10 


(instructor.linuxprobe.com) 


LDAP 客户 端 红 帆 RHEL7 操作 系统 192.168.10.20 


17.2.1 ELE LDAP 服务 端 : 


安装 openldap 与 相关 的 软件 包 : 
[root@linuxprobe ~|# yum install -y openldap openldap-clients openldap-servers migrationtools 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
migrationtools noarch 47-15.el7 rhel7 26k 
openldap-clients x86 64 2.4.39-3.el7 rhel7 183k 
openldap-servers x86. 64 2.4.39-3.el7 rhel7 2.1M 

ROS D E PRU E E EE 

Complete! 


生成 密 钥 文 件 〈 记 下 生成 出 的 值 ， 后 面 要 用 ): 

[rootelinuxprobe ~|# slappasswd -s linuxprobe -n > /etc/openldap/passwd 

[rootelinuxprobe ~|# cat /etc/openldap/passwd 

ISSHAWw/GJvGG8SbluCxhfTDVhkmW Euz2afNIR 

写 入 一 条 主机 与 IP 地 址 的 解析 记录 : 

[root@linuxprobe ~|# echo "192.168.10.10 instructor.linuxprobe.com'" >> /etc/hosts 

因为 LDAP 目录 服务 是 以 明文 的 方式 在 网 络 中 传输 数据 的 〈 包 括 密码 )， 这 样 真 的 很 不 安全 ， 所 以 我 们 采用 TLS 加 密 
机 制 来 解决 这 个 问题 ， 使 用 openssl 工具 生成 X509 格式 的 证 书 文件 (有效期 为 365 X): 

[Iroot@linuxprobe ~|# openssl req -new -x509 -nodes -out  /etc/openldap/certs/cert.:pem -keyout 
/etc/openldap/certs/priv.pem -days 365 

Generating a 2048 bit RSA private key 


writing new private key to /etc/openldap/certs/priv.pem 
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You are about to be asked to enter information that will be incorporated 

into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 

There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '., the field will be left blank. 

Country Name (2 letter code) [XX]: & zz El # 

State or Province Name (full name) []: d E # 

Locality Name (eg, city) [Default City]:& iF El # 

Organization Name (eg, company) [Default Company Ltd]: ŝir E £ 

Organizational Unit Name (eg, section) []:& i E # 

Common Name (eg, your name or your server hostname) []:instructor.linuxprobe.com 

修改 证 书 的 所 属 与 权限 : 

[root@linuxprobe ~|# cd /etc/openldap/certs/ 

[root@linuxprobe certs|# chown ldap:ldap * 

[root@linuxprobe certs|# chmod 600 priv.pem 

[root&linuxprobe certs|# Is -al 

total 8 

drwxr-xr-x. 2 root root 36 Oct 5 13:41 . 

drwxr-xr-x. 5 root root 100 Oct 5 13:39 .. 

-rw-r-r--. 1 ldap ldap 1318 Oct 5 13:41 cert.pem 

-TW------- . 1 ldap ldap 1704 Oct 5 13:41 priv.pem 

复制 一 份 LDAP 的 配置 模板 : 

[root@linuxprobe ~|# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/Idap/DB. CONFIG 
生成 数据 库 文件 (不 用 担心 报错 信息 ): 

[root@linuxprobe ~|# slaptest 

5610aaa9 hdb_db_open: database "dc=my-domain,dc=com": db_open(/var/lib/ldap/id2entry.bdb) failed: No such 
file or directory (2). 

5610aaa9 backend. startup. one (type-hdb, suffix="dc=my-domain,dc=com"): bi, db open failed! (2) 

slap. startup failed (test would succeed using the -u switch) 

修改 LDAP 数据 库 的 所 属 主 与 组 : 

[rootelinuxprobe ~|# chown ldap:ldap /var/lib/ldap/* 

局 动 slapd 服务 程序 并 设置 为 开机 启动: 

[root&linuxprobe ~|# systemctl restart slapd 

[root&linuxprobe ~|# systemctl enable slapd 

In -s /usr/lib/systemd/system/slapd.service' /etc/systemd/system/multi-user.target.wants/slapd.service' 
在 LDAP 目录 服务 中 使 用 LDIF(LDAP Interchange Format) 格 式 来 保存 信息 ， 而 LDIF 是 一 种 标准 的 文本 文件 且 可 以 随意 的 
导入 导出 ， 所 以 我 们 需要 有 一 种 “格式 ”标准 化 LFID 文件 的 写法 ， 这 中 格式 叫做 “schema”，schema 用 于 指定 一 个 目录 
中 锁 包 含 对象 的 类 型 , 以 及 每 一 个 类 型 中 的 可 选 属性 , 我 们 可 以 将 schema 理解 为 面向 对 象 程序 设 计 中 的 “类 ”, 通过 “类 ” 
定义 出 具体 的 对 象 ， 因 此 其 实 LDIF 数据 条 目 则 都 是 通过 schema. 数据 模型 创建 出 来 的 具体 对 象 : 

ldapadd 命令 用 于 将 LDIF 文件 导入 到 目录 服务 数据 库 中 ， 格 式 为 : “ldapadd [参数 ] LDIF 文件 ”。 





(Linux 就 该 这 么 学 》  HTTP://www.linuxprobe.com 


参数 作用 

X 进行 简单 认证 。 

-D MTR ERIE dn. 

-h: 目录 服务 的 地 址 。 

-W: 绑 定 dn 的 密码 。 

AES 使 用 LDIF 文件 进行 条 目 添 加 的 文件 。 
添加 cosine 和 nis 模块 : 


[rootelinuxprobe ~|# cd /etc/openldap/schema/ 

[root@linuxprobe schemal# Idapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif 
SASL/EXTERNAL authentication started 

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth 

SASL SSF: 0 

adding new entry "cn=cosine,cn=schema,cn=config" 

[root@linuxprobe schema] f ldapadd -Y EXTERNAL -H ldapi:/// -D "cn-config" -f nis.ldif 
SASL/EXTERNAL authentication started 

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth 

SASL SSF: O 

adding new entry "cn=nis,cn=schema,cn=config" 

创建 /etc/openldap/changes.ldif 文件 ， 并 将 下 面 的 信息 复制 进去 (注意 有 一 处 要 修改 的 地 方 ): 
[root@linuxprobe ~|# vim /etc/openldap/changes.ldif 

dn: olcDatabase={2}hdb,cn=config 

changetype: modify 

replace: olcSuffix 


olcSuffix: dc=linuxprobe,dc=com 


dn: olcDatabase-(2jhdb,cn-config 
changetype: modify 
replace: olcRootDN 


olcRootDN: cn-Manager,dc-linuxprobe,dc-com 


dn: olcDatabase-(2jhdb,cn-config 

changetype: modify 

replace: olcRootPW 

olcRootPW: 此 处 输入 之 前 生成 的 密码 (CIR SSHA)v/G]JvGG8SbIuCxhfTDVhkmWEuz2afNIR) 


dn: cn=config 
changetype: modify 
replace: olcTLSCertificateFile 
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olcTLSCertificateFile: /etc/openldap/certs/cert.pem 


dn: cn=config 

changetype: modify 

replace: olcTLSCertificateKeyFile 
olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem 


dn: cn-config 
changetype: modify 
replace: olcLogLevel 


olcLogLevel: -1 


dn: olcDatabase-(1jmonitor,cn2config 
changetype: modify 


replace: olcAccess 


olcAccess:: {0}to * by  dn.base-'gidNumber-O-uidNumber-O,cn-peercred,cnzexternal,cn-auth" 


dn.base-'cn-Manager,dc-linuxprobe,dc-com'" read by * none 

将 新 的 配置 文件 更 新 到 slapd 服务 程序 : 

[root@linuxprobe ~|# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif 
SASL/EXTERNAL authentication started 

SASL username: gidNumber-O-uidNumber-O,cn-peercred,cnzexternal,cn-auth 
SASL SSF: O 

modifying entry "olcDatabase-(2jhdb,cn-config" 

modifying entry "olcDatabase-(2jhdb,cn-config" 

modifying entry "olcDatabase-(2jhdb,cn-config" 

modifying entry 'cn-config" 

modifying entry cn=config 

modifying entry 'cn-config" 

modifying entry "olcDatabase-(1jmonitor,cn-config" 

A| € /etc/openldap/base.dif 文件 ， 并 将 下 面 的 信息 复制 进去 : 

[root@linuxprobe ~|# vim /etc/openldap/base.ldif 

dn: dc=linuxprobe,dc=com 

dc: linuxprobe 

objectClass: top 


objectClass: domain 


dn: ou=People,dc=linuxprobe,dc=com 
ou: People 

objectClass: top 

objectClass: organizationalUnit 

dn: ou=Group,dc=linuxprobe,dc=com 
ou: Group 

objectClass: top 


objectClass: organizationalUnit 
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创建 目录 的 结构 服务 : 
[root@linuxprobe ~|# Idapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f /etc/openldap/base.ldif 
adding new entry "dc=linuxprobe,dc=com" 
adding new entry "ou=People,dc=linuxprobe,dc=com" 
adding new entry "ou=Group,dc=linuxprobe,dc=com" 
创建 测试 用 户 并 设置 其 密码 : 
[root@linuxprobe ~|# useradd -d /home/ldap ldapuser 
[root@linuxprobe ~|# passwd ldapuser 
Changing password for user ldapuser. 
New password: 此 处 输入 要 给 用 户 设置 的 密码 
Retype new password: 再 次 输入 密码 
passwd: all authentication tokens updated successfully. 
设置 帐户 的 迁移 (修改 第 71 与 74 行 ): 
[rootelinuxprobe ~|# vim /usr/share/migrationtools/migrate common.ph 
$DEFAULT MAIL DOMAIN = "linuxprobe.com"; 
SDEFAULT. BASE = '"dc-linuxprobe,dc-com"; 
将 当前 系统 中 的 用 户 迁 移 至 目录 服务 : 
[root@linuxprobe ~|# cd /usr/share/migrationtools/ 
[root&elinuxprobe migrationtools]| 2 grep ":10[0-9][0-9]" /etc/passwd &gt; passwd 
[root&linuxprobe migrationtools] # ./migrate passwd.pl passwd users.ldif 
[root&elinuxprobe migrationtools]  Idapadd -x -w linuxprobe -D cn-Manager,dc-linuxprobe,dc-com -f users.lIdif 
adding new entry "uid-linuxprobe,ou-People,dc-linuxprobe,dc-com" 
adding new entry "uid-ldapuser,ou-People,dc-linuxprobe,dc-com" 
将 当前 系统 中 的 用 户 组 迁移 至 目录 服务 : 
[root@linuxprobe migrationtools|# grep ":10[0-9][0-9]" /etc/group &gt; group 
[rootelinuxprobe migrationtools] # ./migrate group.pl group groups.Idif 
[root&linuxprobe migrationtools] # Idapadd -x -w linuxprobe -D cn-Manager,dc-linuxprobe,dc-com -f groups.ldif 
adding new entry "cn-linuxprobe,ou-Group,dc-linuxprobe,dc-com" 
adding new entry "cn-ldapuser,ou-Group,dc-linuxprobe,dc-com" 
测试 linuxprobe 用 户 的 配置 文件 : 
[root@linuxprobe ~|# ldapsearch -x cn=ldapuser -b dc-linuxprobe,dc-com 
# extended LDIF 
# 
# LDAPv3 
# base <dc=linuxprobe,dc=com> with scope subtree 
# filter: cn=ldapuser 
# requesting: ALL 
# 
# ldapuser, People, linuxprobe.com 
dn: uid=ldapuser,ou=People,dc=linuxprobe,dc=com 
uid: ldapuser 
cn: ldapuser 
objectClass: account 


objectClass: posixAccount 
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objectClass: top 
objectClass: shadowAccount 
userPassword:: eZNyeXBOfSQ2]FdtcXFveHFIJFENaU1pZDAuLO 1 KLnBrR 1 ZKLkdVSVIWalguTXh 
xLIBSUk1IeGJseGdkVTBwOUxwcTBJTZhuYnkwNFkzdXh1Zi9QaWFpUUtILkOwUHdQNFpxRXJQVOcv 
shadowLastChange: 16713 
shadowMin: O 
shadowMax: 99999 
shadowWarning: 7 
loginShell: /bin/bash 
uidNumber: 1001 
gidNumber: 1001 
homebDirectory: /home/ldapuser 
# |dapuser, Group, linuxprobe.com 
dn: cn-ldapuser,ou-Group,dc-linuxprobe,dc-com 
objectClass: posixGroup 
objectClass: top 
cn: ldapuser 
userPassword:: e2NyeXBOfXg- 
gidNumber: 1001 


# search result 
search: 2 


result: O Success 


# numResponses: 3 

# numPEntries: 2 

安装 httpd 服务 程序 : 

[root@linuxprobe ~|# yum install httpd 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
httpd x86_64 2.4.6-17.el7 rhel7 1.2 M 
Installing for dependencies: 
apr x86 64 1.4.8-3.el7 rhel7 103 k 
apr-util x86 64 1.5.2-6.el7 rhel7 92k 
httpd-tools x86. 64 2.4.6-17.el7 rhel7 TT k 
mailcap noarch 2.1.41-2.el7 rhel7 3lk 
Sides eb ee ELE Au SQUE] Renee tps 
Complete! 


将 密 钥 文件 上 传 至 网 站 目录 : 

[rootelinuxprobe ~|# cp /etc/openldap/certs/cert.pem /var/www/html 
将 httpd 服务 程序 重启 ， 并 添加 到 开机 启动 项 : 

[root@linuxprobe ~|# systemctl restart httpd 

[rootelinuxprobe ~|# systemctl enable httpd 
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In -s ‘/usr/lib/systemd/system/httpd.service’ /etc/systemd/system/multi-user.target.wants/httpd.service' 
清空 防火 墙 的 规则 并 保存 状态 : 

[rootelinuxprobe ~|# iptables -F 

SUCCESS 

[root@linuxprobe ~|# service iptables save 

SUCCESS 

在 日 志 记录 服务 的 配置 文件 中 追加 下 面 语 句 ， 并 重启 日 志 服 务 : 

[rootelinuxprobe ~|# vim /etc/rsyslog.conf 

local4.* /var/log/ldap.log 


[rootelinuxprobe ~|# systemctl restart rsyslog 


17.2.2 配置 LDAP 客户 端 


将 LDAP 服务 端 主机 名 与 IP 地 址 的 解析 记录 写 入 : 

[root@linuxprobe ~|# echo "192.168.10.10 instructor.linuxprobe.com" >> /etc/hosts 
安装 相关 的 软件 包 : 

[root@linuxprobe Desktop|# yum install openldap-clients nss-pam-ldapd authconfig-gtk pam krb5 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
authconfig-gtk x86 64 6.2.8-8.el7 rhel 105 k 
nss-pam-ldapd x86. 64 0.8.13-8.el7 rhel 159 k 
openldap-clients x86. 64 2.4.39-3.el7 rhel 183k 
pam, krb5 x86 64 2.4.8-4.el7 rhel 158 k 
Installing for dependencies: 
nscd x86 64 2.17-55.el7 rhel 250k 
ueste p E: dr SEA PEERS 
Complete! 


运行 系统 认证 工具 ， 并 填写 LDAP 服务 信息 : 


[root@linuxprobe ~|# system-config-authentication 
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Authentication Configuration 
| l | 
Identity & Authentication | Advanced Options | Password Options 


User Account Configuration 


User Account Database: LDAP wv 


LDAP Search Base DN: || dc-linuxprobe,dc-com 


LDAP Server: Ldap://instructar.linuxprobe.co 
*f Use TLS to encrypt connections 


[a Download CA Certificate... 


Authentication Configuration 


Authentication Method: Kerberos password 2 
Realm: EI 
KDCs: 


Admin Servers: 


.| Use DNS to resolve hosts to realms 


*w Use DNS to Locate KDCs for realms 


Revert Cancel Apply 


填写 证 书 地 址 : 
Download CA Certificate 


To verify the LDAP server with TLS protocol enabled 
you need a CA certificate which signed the server's 
certificate. Please fill in the URL where the CA 
certificate in the PEM format can be downloaded from. 


Certificate URL: http://instructor.linuxprobe.com/cert.pem| 


Cancel OK 


稍 等 片刻 后 ， 验 证 本 地 是 否 已 经 有 了 ldapuser 用 户 : 

[rootelinuxprobe ~|# id Idapuser 

uid-1001 (Idapuser) gid-1001 (Idapuser) groups-1001 (Idapuser) 

此 时 说 明 已 经 可 以 通过 LDAP 服务 端 验证 了 ， 并 且 ldapuser 用 户 的 帐号 信息 也 不 会 保存 在 您 本 地 的 /etc/passwd 文件 中 ~ 


17.3 自动 挂 载 用 尸 目 录 ， 


虽然 在 客户 端 已 经 能 够 使 用 LDAP 验证 帐户 了 ， 但 是 当 切 换 到 ldapuser 用 户 时 会 提示 没有 该 用 户 的 家 目录 : 
[rootelinuxprobe ~|# su - Idapuser 


su: warning: cannot change directory to /home/ldapuser: No such file or directory 
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mkdir: cannot create directory /home/ldapuser': Permission denied 

原因 是 本 机 并 没有 该 用 户 的 家 目录 ， 我 们 需要 配置 NFS 服务 将 用 户 的 家 目录 自动 挂 载 过 来 : 
E LDAP 服务 端 添加 共享 信息 (NFS 服务 程序 已 经 默认 安装 ， 我 们 之 前 学 过 还 记得 吗 ? ) : 
[rootelinuxprobe ~|# vim /etc/exports 

/home/ldap 192.168.10.20 (rw,sync,root, squash) 

重启 nfs-server 服务 程序 : 

[root@linuxprobe ~|# systemctl restart nfs-server 

E LDAP 客户 端 查看 共享 信息 : 

[root@linuxprobe ldap|# showmount -e 192.168.10.10 

Export list for 192.168.10.10: 

/home/ldap 192.168.10.20 

将 共享 目录 挂 载 到 本 地 : 

[rootelinuxprobe -]* mkdir /home/ldap 

[root&linuxprobe Idap]# mount -t nfs 192.168.10.10:/home/ldap /home/ldap 
再 次 尝试 切换 到 ldapuser 用 户 ， 这 样 非常 顺利 : 

[root@linuxprobe ldapj|# su - Idapuser 

Last login: Tue Oct 6 11:51:25 CST 2015 on pts/3 

[Idapuserelinuxprobe -]$ 

设置 为 开机 自动 挂 载 : 

[rootelinuxprobe ~|# vim /etc/fstab 

192.168.10.10:/home/ldap /home/ldap nfs defaults O O 
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第 18 € 使 用 MariaDB 数据 库 管 理 系统 。 


章节 概述 : 

MYSQL 数据 库 管 理 系统 被 Oracle 公司 收购 后 从 开源 换 向 到 了 封闭 ， 导 致 包括 红 帽 在 内 的 许多 Linux 发 行 版 选择 了 MariaDB. 
本 章 市 将 教会 您 使 用 mariaDB 数据 库 管 理工 具 来 管理 数据 库 ， 学 习 对 数据 表单 的 新 建 、 搜 索 、 更 新 、 插 入 、 删 除 等 常用 操作 。 
并 且 熟 练 掌握 对 数据 库 内 用 户 的 创建 与 授权 ， 数 据 库 的 备份 与 恢复 方法 ， 不 仅 满足 了 RHCE 考题 要 求 ， 还 能 帮助 您 的 运 维 工作 。 


18.1 数据 库 管 理 系 统 


我 们 的 生活 中 无 时 无 刻 都 在 接触 到 数据 ， 而 数据 库 便 是 通过 指定 的 组 织 结构 将 这 数据 存储 的 仓库 ， 并 且 随 着 互联 网 
和 信息 技术 的 发 展 ， 数 据 库 也 已 经 从 最 初 只 能 存储 简单 表格 发 展 到 了 存储 海量 数据 的 大 型 分 布 式 模式 。 

在 信息 化 社会 充分 有 效 地 管理 和 利用 和 名 类 信息 资源 ， 是 进行 科学 研究 和 决策 管理 的 前 提 条 件 。 数 据 库 技术 是 管理 信 
息 系统 、 办 公 自 动 化 系统 、 决 策 支 持 系 统 等 各 类 信息 系统 的 核心 部 分 ， 是 进行 科学 研究 和 决策 管理 的 重要 技术 手段 。 
数据 库 管 理 系统 ( 即 Database Management System) 是 一 种 能 够 对 数据 库 进 行 建立 、 使 用 和 和 维护 的 软件 程序 ， 数 据 库 管 
理 系统 通过 将 计算 机 中 有 具体 的 物理 数据 转换 成 适合 用 户 理解 的 抽象 逻辑 数据 ， 方 便 用 户 维护 数据 库 的 安全 和 可 用 性 。 






MariaDB MuwSsQL， 


MYSQL 是 一 款 大 家 都 非常 熟知 的 数据 库 管 理 系统 , 技术 成 熟 、 配 置 简单 开源 免费 并 且 有 良好 的 扩展 性 , 但 是 MYSQL 
在 被 Oracle 公司 收购 后 日 渐 陷 从 开源 转变 为 了 封闭 ， 缓 慢 的 更 新 让 众多 Linux 发 行 版 《如 红 帽 RHELT. Fedora, 
Centos, OpenSUSE, Slackware 等 等 ) 以 及 诸多 已 经 决定 放弃 使 用 这 个 往日 最 具 人 气 的 数据 库 管理 系统 ， 而 转向 到 
Į MariaDB. 

MariaDB 是 MYSQL 数据 库 管 理 系统 的 一 个 由 开源 社区 维护 的 分 支 产 品 ， 完 全 兼容 于 MYSQL, 6Y EA Google 
与 Wikipedia 这 样 的 行业 巨头 已 经 采用 了 MariaDB， 但 并 不 意味 着 会 比 MYSQL 有 明显 的 性 能 提升 ， 而 是 从 技术 如 
断 角 度 作 出 的 决定 。 








18.2 初始 化 mariaDB 服务 程序 


安装 mariaDB 服务 程序 : 
[root@linuxprobe ~|# yum install mariadb mariadb-server 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
mariadb x86 64 1:5.5,35-3.el7 rhel7 8.9M 
mariadb-server x86 64 1:5.5.35-3.el7 rhel7 11M 


Complete! 
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启动 mariadb 服务 程序 并 添加 到 开机 启动 项 中 : 
[root&linuxprobe ~|# systemctl start mariadb 
[root&linuxprobe ~|# systemctl enable mariadb 


In -s /usr/lib/systemd/system/mariadb.service' /etc/systemd/system/multi-user.target.wants/mariadb.service' 


为 了 保证 数据 库 的 安全 性 ， 一 定 要 进行 初始 化 工作 : 


1 步 : 设 定 root 用 户 密码 。 
第 2 步 : 删除 匿名 帐号 。 
3 步 : 禁止 root 用 户 从 远程 登陆 。 
第 4 步 : 删除 test 数据 库 并 取消 对 其 的 访问 权限 。 
第 5 步 : 刷新 授权 表 ， 让 初始 化 后 的 设 定 立即 生效 。 
初始 化 数据 库 服务 程序 : 
[root@linuxprobe ~|# mysql secure installation 
/usr/ bin/mysql secure installation: line 379: find mysql client: command not found 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB 
SERVERS IN PRODUCTION USE! | PLEASE READ EACH STEP CAREFULLY! 

In order to log into MariaDB to secure it, well need the current 
password for the root user. If you've just installed MariaDB, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 
Enter current password for root (enter for none): 当前 数据 库 密码 为 空 ， 直 接 敲 击 回 车 。 
OK, successfully used password, moving on... 
setting the root password ensures that nobody can log into the MariaDB 
root user without the proper authorisation. 
Set root password? [Y/n] y 
New password: 输入 要 为 root 用 户 设置 的 数据 库 密码 。 
Re-enter new password: 重复 再 输入 一 次 密码 。 
Password updated successfully! 
Reloading privilege tables.. 

... 9UCCeSS| 
By default, a MariaDB installation has an anonymous user, allowing anyone 
to log into MariaDB without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 
Remove anonymous users? [Y/n] y (期 除 匿 名 帐号 ) 

... 9UCCeSS| 
Normally, root should only be allowed to connect from localhost. This 
ensures that someone cannot guess at the root password from the network. 
Disallow root login remotely? [Y/n] y(&& iE. root 用 户 从 远程 登陆 ) 

... ouccess! 
By default, MariaDB comes with a database named test that anyone can 
access. This is also intended only for testing, and should be removed 


before moving into a production environment. 
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Remove test database and access to it? [Y/n] y (W KR test 数据 库 并 取消 对 其 的 访问 权限 ) 
- Dropping test database... 
... Success! 
- Removing privileges on test database... 
... Success! 
Reloading the privilege tables will ensure that all changes made so far 
will take effect immediately. 
Reload privilege tables now? [Y/n] y( 刷 新 授权 表 ， 让 初始 化 后 的 设 定 立即 生效 ) 
... Success! 
Cleaning up... 
All done! If you've completed all of the above steps, your MariaDB 
installation should now be secure. 
Thanks for using MariaDB! 
设置 防火 墙 对 数据 库 服 务 的 允许 策略 : 
[root@linuxprobe ~|# firewall-cmd --permanent --add-service-mysgl 
success 
[root@linuxprobe ~|# firewall-cmd --reload 
success 
使 用 root 用 户 登 陆 到 数据 库 中 : 
[root@linuxprobe ~|# mysql -u root -p 
Enter password: 此 处 输入 root 用 户 在 数据 库 中 的 密码 。 
Welcome to the MariaDB monitor. Commands end with ; or \g. 
Your MariaDB connection id is 5 
Server version: 5.5.35-MariaDB MariaDB Server 
Copyright (c) 2000, 2013, Oracle, Monty Program Ab and others. 
Type help; or ^h' for help. Type ^c' to clear the current input statement. 
MariaDB [(none)]» 
查看 当前 已 有 的 数据 库 : 


MariaDB [(none)|> show databases; 


| information schema | 


| mysql | 
| performance. schema | 


3 rows in set (0.01 sec) 

修改 当前 用 户 在 数据 库 中 的 密码 (示例 中 的 密码 为 redhat): 
MariaDB [(none)]» set password = password(redhat’): 
Query OK, 0 rows affected (0.00 sec) 

MariaDB [(none)]» exit 

Bye 

使 用 旧 的 密码 将 不 能 再 登陆 到 数据 库 : 


[root@linuxprobe ~|# mysql -u root -p 
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Enter password: 
ERROR 1045 (28000): Access denied for user root?" localhost. (using password: YES) 


18.3 管理 数据 库 与 表单 数据 


关系 型 数据 库 (DataBase) 是 由 一 个 或 多 个 数据 表单 (Table) 组 成 的 , 数据 表单 则 一 般 会 保存 着 多 个 数据 记录 (Record)。 


18.3.1 创建 用 户 并 授权 


创建 一 个 新 的 数据 库 用 户 : 

创建 数据 库 用 户 的 命令 :CREATE USER 用 户 名 @ 主 机 名 IDENTIFIED BY “密码 ”; 
MariaDB [(none)]» create user luke@localhost IDENTIFIED BY 1linuxprobe 

Query OK, 0 rows affected (0.00 sec) 

进入 到 mysql 数据 库 中 : 

MariaDB [(none)]» use mysql; 

Reading table information for completion of table and column names 

You can turn off this feature to get a quicker startup with -A 

查看 新 创建 的 用 户 、 主 机 、 姓 名 与 密码 信息 : 


MariaDB [mysql|» select host,user,password from user where user= luke 


+----------- +------ +------------------------------------------- + 
| host | user | password | 
+----------- +------ +------------------------------------------- + 

| localhost | luke | *55D9962586BE75F4B7D421E6655973DBO7D6869F | 
+----------- +------ +------------------------------------------- + 


1 row in set (0.00 sec) 

退出 数据 库 后 使 用 新 用 户 登 陆 : 

MariaDB [mysql]> exit 

Bye 

[root@linuxprobe ~|# mysql -u luke -p 

Enter password: 此 处 输入 luke 用 户 的 数据 库 密 码 

Welcome to the MariaDB monitor. Commands end with ; or ^g. 
Your MariaDB connection id is 6 

server version: 5.5.35-MariaDB MariaDB Server 

Copyright (c) 2000, 2013, Oracle, Monty Program Ab and others. 
Type help; or ^h' for help. Type ^c' to clear the current input statement. 
此 时 只 能 查看 到 一 个 数据 库 : 


MariaDB [(none)]|» show databases; 


| Database | 


| information schema | 


1 row in set (0.03 sec) 
数据 库 GRANT 命令 的 授权 操作 常用 方案 : 
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命令 作用 

GRANT 权限 ON 数据 库 .表单 名 称 TO 用 户 名 @ 主 机 名 对 菜 个 特定 数据 库 中 的 特定 表单 给 予 授权 。 

GRANT 权限 ON 数据 库 .* TO 用 户 名 @ 主 机 名 对 某 个 特定 数据 库 中 的 所 有 表单 给 予 授权 。 

GRANT 权限 ON **TO 用 户 名 @ 主 机 名 对 所 有 数据 库 及 所 有 表单 给 予 授权 。 

GRANT 权限 1, 权 限 2 ON 数据 库 x* TO 用 户 名 @ 主 机 名 对 某 个 数据 库 中 的 所 有 表单 给 予 多 个 授权 。 

GRANT ALL PRIVILEGES ON *.* TO 用 户 名 @ 主 机 名 对 所 有 数据 库 及 所 有 表单 给 也 全 部 授权 ，( 谨 愤 操 作 )。 


切换 回 root 用 户 登 陆 数 据 库 并 进入 到 mysql 数据 库 中 : 
[root@linuxprobe ~|# mysql -u root -p 

MariaDB [(none)]» use mysql; 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 

给 予 luke 用 户 对 user 表单 的 查询 、 更 新 、 删 除 、 插 入 权限 : 
MariaDB [mysql|» GRANT SELECT,UPDATE,DELETE,INSERT on mysql.user to lukeelocalhost; 
Query OK, 0 rows affected (0.00 sec) 

查看 luke 用 户 当前 的 授权 : 

MariaDB [(none)]&gt; show grants for lukeelocalhost; 


| GRANT USAGE ON *.* TO Tuke' e'localhost' IDENTIFIED BY 
PASSWORD '*55D9962586BE75FA4B7D421E6655973DB07D6869F | 
| GRANT SELECT, INSERT, UPDATE, DELETE ON mysql.user TO luke'e"localhost | 


2 rows in set (0.00 sec) 
再 次 切换 到 luke 用 户 后 查看 可 用 的 数据 库 : 
[root@linuxprobe ~|# mysql -u luke -p 


MariaDB [(none)|> show databases; 


| information_schema | 


| mysql | 


2 rows in set (0.01 sec) 

进入 到 mysql 数据 库 中 看 到 user 表单 了 : 

MariaDB [(none)]» use mysql 

Reading table information for completion of table and column names 


You can turn off this feature to get a quicker startup with -A 
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Database changed 
MariaDB [mysql]» show tables; 


1 row in set (0.01 sec) 

切换 回 root 用 户 后 取消 刚刚 全 部 的 授权 : 

MariaDB [(none)]» revoke SELECT,UPDATE,DELETE,INSERT on mysql.user from luke@localhost; 
Query OK, 0 rows affected (0.00 sec) 

再 次 查看 luke 用 户 的 授权 : 

MariaDB [(none)]&gt; show grants for luke@localhost; 


二 + 

| GRANT USAGE ON *.* TO ‘luke’@'localhost IDENTIFIED BY 
PASSWORD *55D9962586BE75F4B7D421E6655973DBO7D6869F | 
二 + 


1 row in set (0.00 sec) 


18.3.2 创建 数据 库 与 表单 


常用 的 数据 库 表单 管理 命令 有 : 


AR X 作用 

CREATE database 数据 库 名 称 。 创建 新 的 数据 库 。 
DESCRIBE 表单 名 称 ; di E. 

UPDATE 表单 名 称 SET attribute-3 f£ WHERE attribute > 原始 值 ; 更 新 表单 中 的 数据 。 

USE 数据 库 名 称 ; 指定 使 用 的 数据 库 。 
SHOW databases; 显示 当前 已 有 的 数据 库 。 
SHOW tables; 显示 当前 数据 库 中 的 表单 。 
SELECT * FROM 表单 名 称 ; 从 表单 中 选中 某 个 记录 值 。 
DELETE FROM 表单 名 WHERE attribute= 值 ; 从 表单 中 删除 某 个 记录 值 。 


创建 一 个 新 的 数据 库 : 

MariaDB [(none)]» create database linuxprobe; 
Query OK, 1 row affected (0.00 sec) 

查看 当前 已 有 的 数据 库 : 
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MariaDB [(none)|> show databases; 


| information schema | 
| linuxprobe | 

| mysql | 

| performance_schema | 


4 rows in set (0.04 sec) 
切换 到 指定 的 数据 库 : 
MariaDB [(none)]» use linuxprobe; 


Database changed 
创建 新 的 数据 库 表 单 : 
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MariaDB [linuxprobe]|» create table mybook (name char(15) price int;pages int); 


Query OK, 0 rows affected (0.16 sec) 


查看 表单 的 结构 描述 : 

MariaDB [linuxprobe|» describe mybook; 

十 ------- 十 ---------- +------ +-----+--------- +------- + 

| Field | Type | Null | Key | Default | Extra | 
十 ------- 十 ---------- 十 ------ +-----+--------- +------- + 

| name | char(15) | YES | | NULL 

| price | int(11) | YES | | NULL 

| pages | int(11) | YES | | NULL 

+------- +---------- +------ +-----+--------- +------- + 


3 rows in set (0.02 sec) 


18.3.3 管理 表单 数据 


向 表单 内 插入 新 的 书籍 数据 : 


MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe', 605,518); 
Query OK, 1 row affected (0.00 sec) 


查看 表单 中 的 数据 值 : 

MariaDB [linuxprobe|» select * from mybook; 
十 ------------ 十 ------- 十 ------- 十 

| name | Price | Pages | 

十 ------------ 十 ------- 十 ------- 十 

| linuxprobe | 60| 518 | 

十 ------------ 十 ------- 十 ------- 十 


1 rows in set (0.01 sec) 


将 价格 修改 为 55 元 : 


MariaDB [linuxprobe|» update mybook set price-55 ; 
Query OK, 1 row affected (0.00 sec) 
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Rows matched: 1 Changed: 1 Warnings: O 
只 看 书籍 的 名 字 和 价格 : 


MariaDB [linuxprobe|» select name,price from mybook; 


+------------ +------- + 
| name | price | 
+------------ +------- + 


| linuxprobe | 55| 

+------------ +------- + 

1 row in set (0.00 sec) 

删除 书籍 表单 中 的 内 容 : 

MariaDB [linuxprobe|» delete from mybook; 
Query OK, 1 row affected (0.01 sec) 
MariaDB [linuxprobe|» select * from mybook; 
Empty set (0.00 sec) 


连续 加 入 4 条 书籍 记录 值 : 

MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe1’, 30',518); 
Query OK, 1 row affected (0.05 sec) 

MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe2',50',518); 
Query OK, 1 row affected (0.05 sec) 

MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe3',80',518); 
Query OK, 1 row affected (0.01 sec) 

MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe4',' 100,518); 
Query OK, 1 row affected (0.00 sec) 

where 命令 用 于 在 数据 库 匹 配 查询 的 条 件 ， 可 用 的 条 件 有 : 


参数 作用 

相等 。 

<> 或 |= 不 相等 。 

- ys 

< 人 

>= pe 

< tee 
BETWEEN 在 某 个 范围 内 。 
LIKE id racc reste 
IN 在 列 中 搜索 多 个 值 。 


查看 价格 大 于 75 元 的 书籍 : 
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MariaDB [linuxprobe|» select * from mybook where price>75; 


| name | price | pages | 
十 ------------- 十 ------- +------- + 

| linuxprobe3 | 80| 518| 
| linuxprobe4 | 100| 518 | 
+------------- +------- +------- + 

2 rows in set (0.06 sec) 

搜索 价格 不 等 于 80 元 的 书籍: 
MariaDB [linuxprobe|» select * from mybook where price!-80; 
| name | price | pages | 

| linuxprobe1 | 30 | 518 | 

| linuxprobe2 | 50 | 518 | 

| linuxprobe4 | 100 | 518 | 


3 rows in set (0.01 sec) 


18.3.4 数据 库 的 备份 与 恢复 


mysqldump 命令 用 于 备份 数据 库 数 据 ， 格 式 为 : “mysqldump [参数 ] [数据 库 名 称 ] o 


参数 作用 

者 数据 库 的 用 户 名 称 。 

p 密码 提示 符 。 

--no-data 至 备份 数据 库 的 描述 结构 ， 而 不 要 数据 。 
--lock-all-tables 备份 完成 后 将 不 再 允许 修改 数据 。 


将 书籍 数据 库 文件 ( 即 linuxprobe) 导出 到 家 目录 : 


[root@linuxprobe ~|# mysqldump -u root -p linuxprobe > /root/linuxprobeDB.dump 


Enter password: 

删除 书籍 数据 库 : 

MariaDB [linuxprobe|» drop database linuxprobe; 
Query OK, 1 row affected (0.04 sec) 


MariaDB [(none)]|» show databases; 


| information schema | 


| mysql | 
| performance. schema | 
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3 rows in set (0.02 sec) 

创建 一 个 空 的 数据 库 : 

MariaDB [(none)]» create database linuxprobe; 

Query OK, 1 row affected (0.00 sec) 

导入 刚刚 备份 的 数据 库 : 

[root@linuxprobe ~|# mysql -u root -p linuxprobe < /root/linuxprobeDB.dump 
Enter password: 

果然 又 看 到 了 刚刚 创建 的 mybook 表单 : 

[root@linuxprobe ~|# mysql -u root -p 

MariaDB [(none)]» use linuxprobe; 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 


MariaDB [linuxprobe|» show tables; 


| mybook | 


1 row in set (0.05 sec) 
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第 19 章 使 用 PXE+Kickstart 部 署 无 人 值守 安装 


章节 概述 : 
本 章节 将 教会 您 通过 PXE+DHCP+TFTP+VSftpd+Kickstart 服务 程序 搭建 出 无 人 值守 安装 系统 ， 从 而 批量 部 署 客户 机 系统 。 
这 种 系统 能 够 实现 自动 化 运 维 、 避 免 了 重复 性 劳动 ， 帮 助 提升 工作 效率 ， 对 于 运 维 人 员 真 的 是 太 有 帮助 了 。 


19.1 无 人 值守 系统 


坦白 来 讲 ， 使 用 光盘 或 U 盘 这 种 传统 物理 方式 安装 系统 效率 真 的 很 低 ， 尤 其 当 需 要 批量 部 署 系统 时 更 是 明显 。 

一 般 的 机 房 设 备 都 会 在 数 百人 台 以 上 ,即便 购买 了 数 百 张 系统 光盘 ， 那 您 也 必需 对 每 台 设 备 初 始 化 安 闭 向 寻 ， 免 不 了 会 

有 选 错 的 参数 ， 更 何况 如 此 多 的 设备 没有 几 天 肯定 装 不 完 吧 。 

OO 系统 ， 这 种 系统 能 够 实现 自动 化 运 维 、 
避免 了 重复 性 劳动 ， 帮 助 提升 工作 效率 ， 对 于 DHCP 已 经 是 咱们 学 习 过 的 了 ， 所 以 这 里 就 不 再 多 说 ， 小 伙伴 们 如 果 

筷 记 了 可 以 翻 去 前 面 章节 复习 下 。 


PXE(Preboot execute environment) 是 一 种 能 够 让 计算 机 通过 网 络 尼 动 的 引导 方式 ， 只 要 网 卡 支持 PXE 协议 即 可 使 用 。 
Kickstart 是 一 种 无 人 值守 的 安装 方式 ， 工 作 原 理 就 是 预先 把 原本 需要 运 维 人 员 手 工 填写 的 参数 保存 成 一 个 ks.cfg X 
件 ， 当 安装 过 程 中 出 现 需要 填写 参数 时 则 自动 匹配 Kickstart 生成 的 文件 ,所 以 只 要 Kickstart 文件 包含 了 安装 过 程 中 
所 有 需要 人 工 填写 的 和 参数， 那么 运 维 人 员 就 完全 不 需要 干预 ， 等 待 安装 完 毕 即 可 。 

简单 文本 传输 协议 TFTP (Trivial File Transfer Protocol) 是 一 种 基于 UDP 协议 的 传输 协议 , 其 与 前 面 学 习 的 vsftpd AR 
务 程 序 的 FTP 协议 有 很 大 不 同 ，TFTP 协议 不 具备 FTP 的 许多 功能 (例如 列 出 目录 ， 密 码 认 证 等 等 )， 但 TFTP 协议 
配置 非常 简单 ， 而 且 资 源 消耗 更 低 ， 非 常 适 合 传输 不 敏感 的 文件 。 
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19.2 部 署 相关 服务 程序 


咱们 需要 依次 部 署 DHCP、TFTP、SYSLinux、VSFtpd 与 Kickstart 服务 ， 在 这 之 前 请 先 准备 两 全 虚拟 机 并 配置 好 网 卡 参 数 : 


主机 名 称 操作 系统 IP 地 址 
无 人 值守 系统 红 帆 RHEL7 操作 系统 192.168.10.10 
客户 端 未 安装 操作 系统 


并 确保 您 的 虚拟 机 软件 自 带 DHCP 服务 功能 已 经 关闭 : 
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19.2.1 配置 DHCP 服务 程序 


安装 dhcpd 服务 程序 : 
[root@linuxprobe ~|# yum install dhcp 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 

dhcp x86 64 12:4.2.5-27 el? rhel7 506 k 
PERENE EO 2r EEE e O 
Complete! 


配置 dhcpd 服务 程序 (将 下 面 的 内 容 复制 进去 即 可 ， 具 体 参 数 含义 请 回顾 dhcpd 服务 章节 ): 
[root@linuxprobe ~|# vim /etc/dhcp/dhcpd.conf 
allow booting; 
allow bootp; 
ddns-update-style interim; 
ignore client-updates; 
subnet 192.168.10.0 netmask 255.255.255.0 1 
option subnet-mask 235.293.255.0; 
option domain-name-servers 192.168.10.10; 
range dynamic-bootp 192.168.10.100 192.168.10.200; 


default-lease-time 21600; 
max-lease-time 43200; 
next-server 192.168.10.10; 
filename "pxelinux.O"; 


j 

重启 dhcpd 服务 并 添加 到 开机 局 动 项 : 

[root@linuxprobe ~|# systemctl restart dhcpd 

[root&linuxprobe ~|# systemctl enable dhcpd 

In -s /usr/lib/systemd/system/dhcpd.service' /etc/systemd/system/multi-user.target.wants/dhcpd.service 
添加 防火 墙 对 dhepd 服务 允许 的 规则 : 

[root@linuxprobe ~|# firewall-cmd --permanent --add-service-dhcp 

SUCCESS 


[root@linuxprobe ~|# firewall-cmd --reload 


第 280 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


success 
19.2.2 配置 TFTP 服务 程序 
安装 tftp 服务 程序 : 


[root@linuxprobe ~|# yum install tftp-server 


Loaded PUR Mean Jonas subscription-manager 


Installing: 

tftp-server x86. 64 5.2-11.el7 rhel7 44 k 
PEPEE A a A E E aa 
Complete! 


分 析 vsftpd 服务 程序 时 发 现 ，FTP RAA T BEER RB ED EL JP m R OO 08 3817 AK E LE R A SE P 
程 ， 但 这 样 也 意味 着 会 有 一 定 的 资源 浪费 ， 网 络 守 护 进 程 服务 程序 xinetd 便 是 为 了 解决 资源 浪费 问题 而 设计 的 ， 因 
为 xinetd 服务 程序 会 同时 监听 多 个 系统 端口 , 依据 客户 端 请 求 的 端口 再 转发 给 指定 的 服务 程序 , 而 tftp 便 是 由 xinetd 
服务 程序 来 管理 的 。 

编辑 xinetd 配置 文件 ， 启 动 TFTP 服务 程序 : 

[root@linuxprobe -.d]* vim /etc/xinetd.d/tftp 

// 将 disable 的 值 修 改 为 no. 


service tftp 


i 
socket_type = dgram 
protocol = udp 
wait = yes 
user = root 
server = /usr/sbin/in.tftpd 
server_args = -s /var/lib/tftpboot 
disable = no 
per_source = 11 
cps = 100 2 
flags = [Pv4 


重启 xinetd 服务 并 添加 到 开机 启动 项 中 : 

[root@linuxprobe xinetd.d|# Systemctl restart xinetd 
[root&linuxprobe xinetd.d| systemctl enable xinetd 

添加 防火 墙 对 tftp 服务 允许 的 规则 : 

[rootelinuxprobe ~|# firewall-cmd --permanent --add-port-69/udp 
SUCCESS 

[root@linuxprobe ~|# firewall-cmd --reload 


SUCCESS 
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19.2.3 配置 SYSLinux 服务 程序 
syslinux 是 用 于 提供 引导 加 载 的 服务 程序 ， 目 的 是 简化 安装 Linux 系统 的 时 间 ， 安 装 syslinux 服务 程序 : 


[rootelinuxprobe ~|# yum install syslinux 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 

syslinux x86 64 4.05-8.el7 rhel7 1.0M 
onsite MEUSE ASCENSOR aieo oras 
Complete! 


将 引导 相关 文件 复制 到 tftp 目录 以 供 客户 端 下 载 〈 请 确保 光盘 镜像 已 挂 载 到 /media/cdrom) : 
[root@linuxprobe ~|# cd /var/lib/tftpboot 

[root@linuxprobe tftpboot|# cp /usr/share/syslinux/pxelinux.O . 

[root@linuxprobe tftpboot|4 cp /media/cdrom/images/pxeboot/{vmlinuz,initrd.img} . 
[root@linuxprobe tftpboot]4 cp /media/cdrom/isolinux/lvesamenu.c32,*.msg] . 

将 引导 模板 文件 复制 tftp ER: 

[root@linuxprobe tftpboot]4 mkdir pxelinux.cfg 

[root&linuxprobe tftpboot|£ cp /media/cdrom/isolinux/isolinux.cfg pxelinux.cfg/default 

编辑 引导 模板 文件 : 

[root&linuxprobe tftpboot] 4 vim pxelinux.cfg/default 

// 将 第 1 行 修改 为 : 

default linux 

// 将 第 64 行 修改 为 : 

append initrd-initrd.img inst.stage2-ftp:;//192.168.10.10 ks-ftp;//192.168.10.10/pub/ks.cfg quiet 
/P 8 TO 行 修 改 为 : 

append initrd-initrd.img inst.stage2-ftp:;//192.168.10.10 rd.live.check ks-ftp://192.168.10.10/pub/ks.cfg quiet 


19.2.4 配置 VSFtpd 服务 程序 
安装 vsftpd 服务 程序 : 


[root@linuxprobe ~|# yum install vsftpd 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
vsftpd x86_64 3.0.2-9.el7 rhel7 166 
k 
NONEM 2E IR AEST RE ucsepted acera 
Complete! 


重启 vsftpd 服务 程序 并 添加 到 开机 居 动 项 : 
[root&linuxprobe ~|# systemctl restart vsftpd 
[rootelinuxprobe ~|# systemctl enable vsftpd 


In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service' 


添加 防火 墙 对 vsftpd 服务 允许 的 规则 : 
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[root@linuxprobe ~|# firewall-cmd --permanent --add-service-ftp 
success 
[root@linuxprobe ~|# firewall-cmd --reload 
success 
将 光 盘 镜像 文件 的 内 容 复 制 到 FTP 目录 中 〈 请 先 确 保 您 的 光盘 已 经 挂 载 到 /media/cdrom 目录 ): 
[rootelinuxprobe ~|# cp -r /media/cdrom/* /var/ftp 
设置 SELinux 对 于 FTP 协议 的 允许 策略 : 
[root@linuxprobe ~|# setsebool -P ftpd connect. all unreserved-on 
19.2.4 创建 KickStart 应 签 文件 
复制 一 份 应 答 文 件 模板 并 给 于 权限 : 
[root@linuxprobe ~|# cp ~/anaconda-ks.cfg /var/ftp/pub/ks.cfg 
[root@linuxprobe ~|# chmod +r /var/ftp/pub/ks.cfg 

编辑 模板 文件 : 

[root@linuxprobe ~|# vim /var/ftp/pub/ks.cfg 
// 将 第 6 行 的 cdrom 修改 为 : 

url --url=ftp://192.168.10.10 
// 将 第 21 行 的 时 区 修改 为 : 

timezone Asia/Shanghai --isUtc 
// 将 第 28 行 修改 为 : 


clearpart --all - initlabel 


19.3 自动 部 署 客户 机 


当 我 们 部 署 好 了 无 人 值守 系统 后 ， 就 可 以 新 增 一 台 虚 拟 机 来 验证 啦 : 
第 1 步 : 运行 新 建 虚拟 机 向 导 。 第 2 步 : 创建 一 个 空白 硬盘 。 


新 建 虚拟 机 向 导 0 mem 新 建 虚拟 机 向 导 
Pm A 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 





欢迎 使 用 新 建 虚 拟 机 向 导 
安装 来 源 : 
您 希望 使 用 什么 类 型 的 配置 ? O 支 装 程序 光盘 (D): 
eS DVD RW 驱动 器 (D:) 
通过 几 个 简单 的 步 台 创 建 Workstation 11.0 
虚拟 机 。 


VMWARE UA EET isoXMY: 
WORKSTATION O 自 定义 (高 级 )(O dd 


创建 带 有 SCSI 控制 器 类 型 、 虚 拟 磁 盘 类 型 F:M&fe x ÜEWHEL-server-7.0-x86  64-LinuxProbe.Com.isc 
ma VMware 产品 兼容 性 等 高 级 选项 
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第 3 步 : 选择 虚拟 机 系统 。 第 4 步 : 填写 系统 名 称 与 虚拟 机 保存 路 径 。 


Es ns 
选择 客户 机 操作 系统 命名 虚拟 机 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 您 要 为 此 虚拟 机 使 用 什么 名 称 ? 








窘 户 机 操作 系统 虚拟 机 名 称 (V): 


© Microsoft Windows(W) RHEL7(pxe--kickstart) 
(9) Linux(L) 
© Novell NetWare(E) 位 置 (L): 
© Solaris(S) 

© VMware ESX(X) 
O 其 他 (0) 在 编辑 ”> 首选 项 "中 可 更 改 默认 位 置 。 


版 本 (V) 


Red Hat Enterprise Linux 6 64 位 区 


F:\VmwareWorkStation\LinuxProbe 











< 上 (8) || 500» J| WA | < 上 - 步 (8) || h—b0D» J| 取消 | 





第 5 步 : 创建 硬盘 设备 〈 黑 认 大 小 即 可 )。 
memes e èë --- 
E 人 值守 系统 一 臻 此 步骤 省 略 )。 


虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这 些 文件 最 初 很 
小 ， 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 这 靳 变 大 。 





已 准备 好 创建 虚拟 机 


最 大 磁盘 大 小 (GB)(5): 。 2007 
单 击 ` 完 成 ' 字 要 虚 拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 6 64 fè 


针对 Red Hat Enterprise Linux 6 64 位 的 建议 大 小 : 20 GB 





将 使 用 下 列 设置 创建 虚拟 机 : 


RHEL7(pxe--kickstart) 

FW VmwareWorkStationMLinuxProbe 
版 本 : Workstation 11.0 
操作 系统 : Red Hat Enterprise Linux 6 64 位 


O 将 虚拟 磁盘 存 铺 为 单个 文件 (D) 


© 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 


NUES 可 以 更 轻松 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 


TER e 


硬盘 : 20 GB, 拆 分 

内 存 : 2048 MB 

了 网络 适配器 : NAT 

其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 
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当 开 启 客 户 端 虚 拟 机 电源 后 ， 会 自动 化 的 进行 部 署 系统 : 


Press the key to begin the installation process. 


(Linux 就 该 


7.096057] sd 5:0:0:0: [sda] Assuming drive cache: write through 
7.0970821 sd 5:0:0:0: [sda] Assuming drive cache: write through 
7.097631] sd 5:0:0:0: [sda] Assuming drive cache: write through 
] Started Show Plymouth Boot Screen. 
] Reached target Paths. 
[ ] Reached target Basic System. 
dracut-initqueue[9051: RTNETLINK answers: File exists 
dracut-initqueue[9051: 7 Total ZX Received 7 Xferd huerage Speed Time i Time Current 
dracut-initqueue[9051: Dload Upload Total Spent Left Speed 
100 1073 100 1073 0 0 1057 0 0:00:01 20:00:01 --:--:--  1058:--:-- --:--:-- 0 
dracut-initqueue[9051: parse-kickstart ERROR: 'netuork —-hostname-linuxprobe. : missing --deuice 
dracut-initdueue[905]: 7 Total X Received 7 Xferd fiverage Speed Tine Time Current 
dracut-initqueue[9051: Dload Upload Total Spent Left Speed 


100 2166 100 2166 0 0 2133 0 20:00:01 20:00:01 0 


dracut-initqueue[9051: 7 Total 7^ Received 7 Xferd fuerage Speed i Time Current 


dracut-initqueue[9051: Dload Upload Total Spent Left Speed 
100 259M 100 259M 0 0 19.7M 0 20:00:13 90:00:13 —:--: 
dracut-initqueue[9051: 7 Total z Received 7» Xferd fiverage Speed 
dracut-initqueue[9051: Dload Upload Total Spent Left Speed 
0 0 0 0 0 0 0 Q -—:--:-- 0:00:01 --:--: 
dracut-initqueue[9051: curl: (78) RETR response: 550 
dracut-initqueue[9051: Warning: Downloading 'ftp://192.168.10.10/cdromzimages/updates.img' failed? 
dracut-initqueue[9051: 7 Total z Received 7 Xferd fiverage Speed Time Time Time Current 
dracut-initqueue[9051: Dload Upload Total Spent Left Speed 
0 0 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-—- g:--:—— 一 :一 :一 0 
dracut-initdueue[905]: curl: (78) RETR response: 550 
dracut-initqueue[9051: Warning: Downloading 'ftp://192.168.10.10/cdromzimages/product.img' failed? 
Started dracut initqueue hook. 
Starting dracut pre-mount hook... 
Started dracut pre-mount hook. 
Reached target Initrd Root File System. 
Starting Reload Configuration from the Real Root... 
Started Reload Configuration from the Real Root. 


DENE E I F : KA 20 分 钟 后 系统 已 经 顺利 的 安装 完毕 : 


CONFIGURATION RED HAT ENTERPRISE LINUX 7.9 INSTALLATION 
Eus 










USER SETTINGS 


[  USERCREATION 
No user wilt be created 





Deutsc 


Englist 


Englsh [United States) v 


MANAGE MORE. STRESS LESS. 
RED HAT SATELLITE 


«wg, redhat 
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第 20 章 使 用 LNMP 架构 部 署 动态 网 站 环境 。 


章节 概述 : 

本 章节 将 从 Linux 系统 的 软件 安装 方式 讲 起 ， 带 领 读者 分 辩 RPM 软件 包 与 源码 安装 的 区 别 、 并 能 够 理解 它们 的 优 缺点 。 

Nginx 是 一 款 相当 优秀 的 用 于 部 署 动态 网 站 的 服务 程序 ，Nginx 具有 不 错 的 稳定 性 、 丰 富 的 功能 以 及 占用 较 少 的 系统 资源 等 独特 特性 。 
通过 部 署 Linux+Nginx+MYSQL+PHP 这 四 种 开源 软件 ， 便 拥有 了 一 个 免费 、 高 效 、 扩 展 性 强 、 资 源 消耗 低 的 LNMP 25 4 PLSEARAA T. 


20.1 源码 安装 程序 


在 前 面 的 章节 中 提 到 过 在 红 帽 软件 包 管 理 器 (RPMO 公布 之 前 要 想 在 Linux 系统 中 安装 软件 只 能 采取 “源码 包 ” 的 
方式 安装 服务 程序 ,但 是 源码 安装 程序 真是 一 件 非常 困难 ， 耗 费 耐心 的 事情 ， 不 仅 需 要 运 维 人 员 掌 握 更 多 的 知识 、 高 
超 的 技能 、 甚 至 要 很 有 耐心 才能 安装 好 一 个 程序 ， 并 且 在 安装 、 升 级 、 仓 载 时 还 要 考虑 到 其 他 程序 、 库 的 依赖 关系 ， 
所 以 我 们 在 前 面 的 课程 中 都 依赖 于 YUM 仓库 或 RPM 来 安装 服务 程序 ， 但 这 样 也 会 有 一 些 整 端 。 


很 多 软件 产品 只 会 以 源码 包 的 方式 发 布 , 如 果 只 会 用 RPM 命令 就 只 能 去 互联 网 大 海洋 中 慢 慢 寻 

找到 由 第 三 方 组 织 或 黑客 们 编写 的 RPM 软件 包 后 才能 安装 程序 了 ， 并 且 源 码 程序 的 可 移植 性 

非常 好 ， 可 以 针对 不 同 的 系统 架构 而 正确 运行 ， 但 RPM 软件 包 则 必需 严格 符合 限制 使 用 的 平 

合 和 架构 后 才能 顺利 安装 , 所 以 建议 即便 在 工作 中 可 以 很 舒服 的 用 Yum 仓库 来 安装 服务 程序 ， 
源码 安装 的 流程 也 一 定 要 记 清 : 

第 1 步 ， 解 压 文 件 : 

源码 包 通 常会 使 用 tar 工具 归档 然后 用 gunzip 或 bzip2 进行 压缩 ， 后缀 格式 会 分 别 为 ,tar.8z 与 tar.bz2 ， 解 压 方 法 : 


[root&linuxprobe ~|# tar czvf FileName.tar.gz 





[root&linuxprobe ~|# tar jxvf FileName.tar.bz2 

第 2 步 ， 切 换 到 解压 后 的 目录 : 

[root&linuxprobe ~|# cd FileDirectory 

第 3 步 : 准备 编译 工作 : 

在 开始 安装 服务 程序 之 前 ， 需 要 执行 configure 脚本 ， 他 会 自动 的 对 当前 系统 进行 一 系列 的 评估 ， 如 源 文件 、 软 件 依 
赖 性 库 、 编 译 器 、 汇 编 媳 、 连 接 器 检查 等 等 ， 如 果 有 需求 ， 还 可 以 使 用 -Prefix 参数 来 指定 程序 的 安装 路 径 (很 实 
用 )， 而 当 肢 本 检查 系统 环境 符合 要 求 后 ， 则 会 在 当前 目录 下 生成 一 个 Makefile X ft. 

[root@linuxprobe ~|# ./configure - prefix=/usr/local/program 

第 4 步 : 生成 安装 程序 : 

刚刚 生成 的 Makefile 文件 会 保存 有 系统 环境 依赖 关系 和 安装 规则 , 接 下 来 需要 使 用 make 命令 来 根据 MakeFile 文件 
提供 的 规则 使 用 合适 的 SHELL 来 编译 所 有 依赖 的 源码 ， 然 后 make 命令 会 生成 一 个 最 终 可 执行 的 安装 程序 。 
[root@linuxprobe ~|# make 

第 5 步 : 安装 服务 程序 : 

如 果 在 configure 脚本 阶段 中 没有 使 用 - prefix 和 参数， 那么 程序 一 般 会 被 默认 安装 到 /usr/local/bin 目录 中 。 
[root@linuxprobe ~|# make install 

第 6 步 : 清理 临时 文件 (可 选 ): 

[root@linuxprobe -]* make clean 

SAUCES HENRI EB AATUD : 

[rootelinuxprobe -]* make uninstall 


其 实 读者 可 能 最 纳闷 的 是 漫长 的 configure 5 make 77 J&, RPM 包 为 什么 就 可 以 那么 有 效率 的 安装 ， 而 不 需要 检测 
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系统 环境 呢 ? 
其 实 原 因 很 简单 ，RPM 软件 包 是 根据 特定 系统 和 平台 而 指定 的 ， 经 常 一 种 程序 会 提供 很 多 RPM 包 的 格式 Cu 
i386/x86_64 等 等 )， 用 户 需要 找到 适合 当前 自己 系统 的 RPM 包 后 才能 顺利 的 安装 ， 而 源码 包 的 程序 作者 肯定 希望 
自己 的 软件 能 够 被 安装 到 更 多 的 系统 中 ， 被 更 多 的 用 户 使 用 ， 所 以 就 必需 要 用 configure 脚本 来 检查 用 户 当前 系统 的 
情况 ， 最 终 制定 出 一 份 可 行 的 安装 方案 。 


20.2 WZ LNMP 架构 


LNMP (Hi Linux+Nginx+MYSQL+PHP) 是 目前 非常 热门 的 动态 网 站 部 署 架构 ， 一 般 是 指 : 


Linux: 如 RHEL, Centos, Debian, Fedora, Ubuntu 等 系统 。 

Nginx: 高 性 能 、 低 消耗 的 HTTP 与 反 向 代理 服务 程序 。 

MYSQL: 热 门 常用 的 数据 库 管理 软件 。 

PHP: 一 种 能 够 在 服务 器 端 执 行 的 葵 入 HTML 文档 的 脚本 语言 。 

通过 将 这 四 种 开源 软件 部 署 在 一 起 ， 便 成 为 了 一 个 免费 、 高 效 、 扩 展 性 强 、 资 源 消 耗 低 的 动态 网 站 环境 了 。 
设置 防火 墙 允许 数据 库 与 网 站 服务 策略 : 

[rootelinuxprobe ~|# iptables -F 





[root@linuxprobe ~|# firewall-cmd --permanent --add-service-mysgl 

SUCCESS 

[root@linuxprobe ~|# firewall-cmd --permanent --add-service-http 

SUCCESS 

[root@linuxprobe ~|# firewall-cmd --reload 

success 

下 载 所 有 需要 使 用 的 软件 包 到 /usr/local/src 目录 (17 个 文件 ): 

[root@linuxprobe ~|# cd /usr/local/src 

[root@linuxprobe src|# wget http://www.linuxprobe.com/Tools/cmake-2.8.1 1.2.tar.gz 
[root@linuxprobe src|# wget http://www.linuxprobe.com/Tools/Discuz_X3.2_SC_GBK.zip 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/freetype-2.5.3.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/jpegsrc.v9a.tar.gz 
[root@linuxprobe src|# wget http://www.linuxprobe.com/ Tools/libgd-2.1.0.tar.gz 
[root@linuxprobe src|# wget http://www.linuxprobe.com/Tools/libmcrypt-2.5.8.tar.gz 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/libpng-1.6.12.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/libvpx-v1.3.0.tar.bz2 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/mysql-5.6.19.tar.gz 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/nginx-1.6.0.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/openssl-1.0O.1h.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/php-5.5.1 4.tar.gz 


[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/pcre-8.35.tar.gz 
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[root&linuxprobe Src|# wget http://www.linuxprobe.com/Tools/t1 lib-5.1.2.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/tiff-4.0.3.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/yasm-1.2.0.tar.gz 


[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/zlib-1.2.8.tar.gz 


安装 编译 工具 及 库 文件 (需要 安装 的 程序 比较 多 ， 请 复制 全 1): 

[root@linuxprobe ~|# yum install -y apr* autoconf automake bison bzip2 bzip2* compat* cpp curl curl-devel 
fontconfig fontconfig-devel freetype freetype* freetype-devel gcc gcc-c++ gd gettext gettext-devel glibc 
kernel kernel-headers keyutils keyutils-libs-devel krb5-devel libcom err-devel libpng libpng-devel libjpeg* 
libsepol-devel libselinux-devel libstdc--«-devel libtool* libgomp libxml2 libxml2-devel libXpm* libtiff libtiff* 
make mpfr ncurses* ntp openssl openssl-devel patch pcre-devel perl php-common php-gd policycoreutils 
telnet tllib t1lib* nasm nasm* wget zlib-devel 

Loaded plugins: langpacks, product-id, subscription-manager 


This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register. 


Complete! 

安装 cmake 编译 工具 (解压 与 编译 过 程 已 省 略 ): 

[root@linuxprobe ~|# cd /usr/local/src 

[root&linuxprobe src|# ls 

zlib-1.2.8.tar.gz libmcrypt-2.5.8.tar.gz pcre-8.35.tar.gz 
cmake-2.8.11.2.targgz  libpng-1.6.12.targz php-5.5.14.tar.gz 
Discuz X3.2 SC GBKzip libvpx-v1.3.0.tar.bz2 — tllib-5.1.2.tar.gz 
freetype-2.5.3.taregz | mysql-5.6.19.tar.gz tiff-4.0.3.tar.gz 
jpegsrc.v9a.tar.gz nginx-1.6.0.tar.gz yasm-1.2.0.tar.gz 
libgd-2.1.0.tar.gz openssl-1.0.1h.tar.gz 

[root&linuxprobe src|# tar xzvf cmake-2.8.1 1.2.tar.gz 
[rootelinuxprobe src|4 cd cmake-2.8.1 1.2/ 

[rootelinuxprobe cmake-2.8.1 1.2] /configure 

[rootelinuxprobe cmake-2.8.1 1.2]: make 


[rootelinuxprobe cmake-2.8.1 1.2] make install 


20.2.1 配置 Mysql 服务 


在 前 面 的 章节 中 我 们 学 习 了 MariaDB 数据 库 管 理 系统 ， 那 么 这 次 实验 就 学 习 下 如 何 使 用 Mysql 来 管理 数据 库 吧 。 
创建 用 于 执行 mysql 服务 程序 的 帐号 : 

[root@linuxprobe cmake-2.8.1 1.2]# cd /usr/local/src 

[rootelinuxprobe src|# useradd mysql -s /sbin/nologin 

创建 数据 库 程序 和 文件 的 目录 ， 并 设置 目录 的 所 属 与 所 组 : 

[root@linuxprobe src|# mkdir -p /usr/local/mysqgl/var 


[root@linuxprobe src|# chown -Rf mysql:mysql /usr/local/mysql/var 
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Zr Mysql 服务 程序 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe src|# tar xzvf mysql-5.6.19.tar.gz 
[root&linuxprobe src|# cd mysql-5.6.19/ 
[root@linuxprobe mysql-5.6.19] # cmake -DCMAKE INSTALL PREFIX-/usr/local/mysql - 
DMYSQL DATADIR-/var/local/mysql/var -DSYSCONFDIR-/etc 
删除 系统 默认 的 配置 文件 : 
[root@linuxprobe mysql-5.6.19]# rm -rf /etc/my.cnf 


生成 系统 数据 库 (生成 信息 已 省 略 ): 

[root@linuxprobe mysql-5.6.19]£ cd /usr/local/mysql/ 

[root@linuxprobe — mysql|?  ./scripts/mysgL install db  -user-mysql 4 -basedir-/usr/local/mysql  -- 

datadir-/usr/local/mysql/var 

[rootelinuxprobe mysql] # make 

[root&linuxprobe mysql] # make install 

创建 配置 文件 的 软 连接 文件 : 

[rootelinuxprobe mysql]* In -s /usr/local/mysql/my.cnf /etc/my.cnf 

将 mysqld 服务 程序 添加 到 开机 启动 项 : 

[root@linuxprobe mysql]|* cp ./support-files/mysql.server /etc/rc.d/init.d/mysqld 

[rootelinuxprobe mysql] chmod 755 /etc/init.d/mysqld 

[rootelinuxprobe mysql|# chkconfig mysqld on 

编辑 启动 项 的 配置 文件 : 

[root@linuxprobe mysql]|* vim /etc/rc.d/init.d/mysqld 

// 分 别 修改 第 46 5 47 41, basedir 为 程序 安装 路 径 ，datadir 为 数据 库存 放 目 录 。 

basedir-/usr/local/mysql 

datadir-/usr/local/mysql/var 

重启 mysqld 服务 程序 : 

[root@linuxprobe mysql|# systemctl restart mysqld 

把 mysql 服务 程序 命令 目录 添加 到 环境 变量 中 (永久 生效 ): 

[root@linuxprobe mysql|# vim /etc/profile 

// 在 配置 文件 的 最 下 面 追加 : 

export PATH-SPATH:/usr/local/mysql/bin 

[rootelinuxprobe mysql] * source /etc/profile 

将 mysqld 服务 程序 的 库 文件 链接 到 默认 的 位 置 : 

[root@linuxprobe mysql] mkdir /var/lib/mysql 

[root&linuxprobe mysql|# In -s /usr/local/mysgql/lib/mysql /usr/lib/mysql 

[root&linuxprobe mysql] * In -s /usr/local/mysgl/include/mysq]l /usr/include/mysql 

[rootelinuxprobe mysql|# In -s /tmp/mysql.sock /var/lib/mysql/mysql.sock 

初始 化 mysqld 服务 程序 : 

[root@linuxprobe mysql] * mysql secure installation 

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL 
SERVERS IN PRODUCTION USE! | PLEASE READ EACH STEP CAREFULLY! 

In order to log into MySQL to secure it, well need the current 


password for the root user. If you've just installed MySQL, and 
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you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 
Enter current password for root (enter for none): 
OK, successfully used password, moving on... 
setting the root password ensures that nobody can log into the MySQL 
root user without the proper authorisation. 
Set root password? [Y/n] y 
New password: 输入 要 为 root 用 户 设置 的 数据 库 密码 。 
Re-enter new password: 重复 再 输入 一 次 密码 。 
Password updated successfully! 
Reloading privilege tables.. 

... 9UCCeSS| 
By default, a MySQL installation has an anonymous user, allowing anyone 
to log into MySQL without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 
Remove anonymous users? [Y/n] y (期 除 匿名 帐号 ) 

... 9UCCeSS| 
Normally, root should only be allowed to connect from localhost. This 
ensures that someone cannot guess at the root password from the network. 
Disallow root login remotely? [Y/n] y(& iE. root 用 户 从 远程 登陆 ) 

... ouccess! 
By default, MySQL comes with a database named test that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y (W KR test 数据 库 并 取消 对 其 的 访问 权限 ) 

- Dropping test database... 

... ouccess! 

- Removing privileges on test database... 


... Success! 


Reloading the privilege tables will ensure that all changes made so far 


will take effect immediately. 


Reload privilege tables now? [Y/n] y( 刷 新 授权 表 ， 让 初始 化 后 的 设 定 立即 生效 ) 
... 9UCCeSS| 

All done! If you've completed all of the above steps, your MySQL 

installation should now be secure. 

Thanks for using MySQL! 


Cleaning up... 
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20.2.2 配置 Nginx 服务 


Nginx 是 一 款 相当 优秀 的 用 于 部 署 动态 网 站 的 服务 
程序 ，Nginx 最 初 是 为 俄罗斯 门户 站 点 而 设计 的 网 
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站 服务 软件 ， 作 为 作为 一 款 轻 量 级 的 网 站 服务 软 
件 ， 因 其 稳定 性 和 丰富 的 功能 而 深 受 信赖 ， 但 最 最 


最 被 认可 的 是 低 系统 资源 、 占 用 内 存 少 且 并 发 能 力 


强 ， 目 前 国内 恕 新浪、 网 易 、 腾 讯 等 门户 站 均 在 使 用 ， 市 场 占有 份额 一 直 保 持 在 15-16% 左 右 。 
Nginx 程序 的 稳定 性 来 自 于 它 采 用 了 分 阶段 的 资源 分 配 技术 ， 使 得 CPU 与 内 存 占用 率 会 非常 低 ， 所 以 使 用 Nginx 程 
序 部 署 动态 网 站 环境 不 仅 十 分 的 稳定 、 高 效 ， 而 且 消 耗 更 少 的 系统 资源 ， 丰 富 的 模块 功能 也 几乎 与 Apache 程序 数 
量 相同 ， 现 在 已 经 完全 的 支持 了 proxy、rewrite、mod_fcgi、ssl、vhosts 等 常用 模块 。 而 且 还 支持 了 热 部 署 技术 ， 
即 能 够 可 以 7*24 不 间断 提供 服务 ， 即 便 运 行 数 月 也 无 须 重启 ， 而 且 还 可 以 在 不 暂停 服务 的 情况 下 直接 对 Nginx 服 
务 程序 进行 升级 。 
JH EK Yt, BA Nginx 程序 的 代码 质量 非常 高 ， 代 码 很 规范 ， 技 术 成 熟 ， 模 块 扩展 也 很 容易 ， 但 Nginx 依然 存在 不 
少 问 题 , 比如 Nginx 是 由 俄罗斯 人 创建 的 , 所 以 在 资料 文档 方面 还 并 不 完善 , 中 文教 材 的 质量 更 是 鱼龙混杂 , 但 Nginx 
近年 来 增长 势头 迅 独 ， 预 测 未 来 应 该 能 够 在 轻 量 级 HTTP 服务 恬 市 场 有 不 错 的 未 来 。 
安装 PCRE (Perl 兼容 的 正则 表达 式 库 ， 解 压 与 编译 过 程 已 省 略 ): 


[root@linuxprobe ~|# cd /usr/local/src 





[root@linuxprobe src|4 mkdir /usr/local/pcre 

[root&linuxprobe src|# tar xzvf pcre-8.35.tar.gz 

[root&linuxprobe pcre-8.35]* ./configure --prefix-/usr/local/pcre 
[rootelinuxprobe src|£ make 

[root&linuxprobe src|£ make install 

3X openssl 服务 程序 (解压 与 编译 过 程 已 省 略 ): 

[root@linuxprobe pcre-8.35]* cd /usr/local/src 

[root@linuxprobe src|# mkdir /usr/local/openssl 
[root@linuxprobe src|# tar xzvf openssl-1.0.1h.tar.gz 
[root@linuxprobe src|# cd pcre-8.35/ 

[root@linuxprobe pcre-8.35|# ./configure --prefix=/usr/local/openssl 
[root@linuxprobe pcre-8.35]# make 

[rootelinuxprobe pcre-8.35]|* make install 

把 openssl 服务 程序 命令 目录 添加 到 环境 变量 中 (永久 生效 ): 
[root@linuxprobe pcre-8.35]4 vim /etc/profile 

// 将 配置 文件 最 下 面 的 参数 追加 参数 为 : 

export PATH=$PATH:/usr/local/mysql/bin:/usr/local/openssl/bin 
[rootelinuxprobe pcre-8.35|# source /etc/profile 

安装 zlib 数据 压缩 函数 库 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe pcre-8.35]* cd /usr/local/src 

[root@linuxprobe src|4 mkdir /usr/local/zlib 

[rootelinuxprobe src|# tar xzvf zlib-1.2.8.tar.gz 

[root&linuxprobe zlib-1.2.8|# ./configure --prefix-/usr/local/zlib 
[root&linuxprobe zlib-1.2.8]£ make 

[root&linuxprobe zlib-1.2.8]* make install 
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创建 用 于 执行 nginx 服务 的 用 户 : 
[root&linuxprobe zlib-1.2.8|# cd /usr/local/src 
[root@linuxprobe src|# useradd www -s /sbin/nologin 
安装 nginx 服务 程序 (openssl zlib pcre 要 写成 源码 解压 路 径 110D) : 
[rootelinuxprobe src|# tar xzvf nginx-1.6.0.tar.gz 
[root&linuxprobe src|# cd nginx-1.6.0/ 
[rootelinuxprobe nginx-1.6.0]* ./configure --prefix-/usr/local/nginx --without-http memcached module --user-www -- 
group-www -wWith-http stub status module . -with-http ssl module ^ -with-http gzip static module ^ --with- 
openssl-/usr/local/src/openssl-1.0.1h --with-zlib-/usr/local/src/zlib-1.2.8 --with-pcrez/usr/local/src/pcre-8.35 
[root&linuxprobe nginx-1.6.0]: make 


[root&linuxprobe nginx-1.6.0]4 make install 


创建 nginx 程序 脚本 (将 下 面 的 参数 直接 复制 进去 即 可 ): 
[root&linuxprobe nginx-1.6.0|# vim /etc/rc.d/init.d/nginx 
#!/bin/bash 
# nginx - this script starts and stops the nginx daemon 
# chkconfig: - 85 15 
# description: Nginx is an HTTP(S) server, HTTP(S) reverse ^ 
# proxy and IMAP/POP3 proxy server 
# processname: nginx 
* config: /etc/nginx/nginx.conf 
* config: /usr/local/nginx/conf/nginx.conf 
# pidfile: /usr/local/nginx/logs/nginx.pid 
# Source function library. 
. /etc/rc.d/init.d/functions 
# Source networking configuration. 
. /etc/sysconfig/network 
* Check that networking is up. 
| SNETWORKING' = "no" | && exit 0 
nginx-"/usr/local/nginx/sbin/nginx" 
prog=$ (basename $nginx) 
NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf" 
| -f /etc/sysconfig/nginx | && . /etc/sysconfig/nginx 
lockfilez/var/lock/subsys/nginx 
make. dirs() { 
* make required directories 
user-'$nginx -V 2>&1 | grep "configure arguments:' | sed s/[|^*]*—-user-N([^ J^).*/A 1/g -' 
if [| -z "grep $user /etc/passwd" |; then 
useradd -M -s /bin/nologin $user 
fi 
options- $nginx -V 2>&1 | grep configure arguments: 


for opt in $options; do 
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if | echo $opt | grep '.*-temp-path" [; then 
value-'echo $opt | cut -d "=" -f 2 
if | ! -d "$value" |; then 
# echo "creating" $value 
mkdir -p $value && chown -R $user $value 
fi 
fi 
done 
j 
start() { 
| -x $nginx ] || exit 5 
[ -f $NGINX CONF. FILE ] || exit 6 
make dirs 
echo -n $'Starting $prog: ' 
daemon $nginx -c $NGINX CONF FILE 
retval-$? 
echo 
| $retval -eq O ] && touch $lockfile 
return $retval 
j 
stop) { 
echo -n $'Stopping $prog: ' 
killproc $prog -QUIT 
retval-$? 
echo 
| $retval -eq O | && rm -f Slockfile 
return $retval 
j 
restart() 1 
#configtest || return $? 
stop 
sleep 1 
start 
j 
reload() 1 
#configtest || return $? 
echo -n $"Reloading $prog: ' 
killproc $nginx -HUP 
RETVAL=$? 
echo 
} 
force_reload() { 
restart 


} 
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configtest() 1 

$nginx -t -c $NGINX CONF FILE 
j 

rh. status() { 

status $prog 

j 

rh status q0) { 

rh. status »/dev/null 2»&1 


} 

case "$1" in 

start) 
rh, status q && exit O 
$1 

stop) 


rh status q || exit O 
$1 


restart |configtest) 


$1 


reload) 
rh status q || exit 7 
$1 


force-reload) 


force reload 


status) 


rh status 


condrestart |try-restart) 


rh status q || exit O 


*) 


echo $"Usage: $0 [start|stop|status restart | condrestart |try-restart | reload |force-reload |configtest]" 


exit 2 

esac 

[root&linuxprobe nginx-1.6.0]: chmod 755 /etc/rc.d/init.d/nginx 

€ E nginx 服务 程序 并 添加 到 开机 启动 项 : 

[root@linuxprobe nginx-1.6.0|# /etc/rc.d/init.d/nginx restart 
Restarting nginx (via systemctl): [ OK |] 
[rootelinuxprobe nginx-1.6.0]* chkconfig nginx on 


此 时 可 以 通过 访问 JP 来 判断 nginx 服务 是 否 顺 利 运行 : 
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2 E . o» ce ce ee Le] | mici] 
Welcome to nginx! x 
C [Ò 192.168.10.10 h| 三 


| Welcome to nginx! | 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


20.2.3 配置 php 服务 


安装 yasm Ciri 〈 解 压 与 编译 过 程 已 省 略 ) : 

[rootelinuxprobe nginx-1.6.0]* cd /usr/local/src 
[root&linuxprobe src|# tar zxvf yasm-1.2.0.tar.gz 
[root&linuxprobe src] cd yasm-1.2.0 

[root&linuxprobe yasm-1.2.0]* ./configure 

[rootelinuxprobe yasm-1.2.0]£ make 

[rootelinuxprobe yasm-1.2.0|# make install 

安装 libmcrypt 加 密 算法 扩展 库 (解压 与 编译 过 程 已 省 略 ) : 
[rootelinuxprobe yasm-1.2.0|# cd /usr/local/src 
[root&linuxprobe src|# tar zxvf libmcrypt-2.5.8.tar.gz 
[root&linuxprobe src|# cd libmcrypt-2.5.8 

[root&linuxprobe libmcrypt-2.5.8]*t ./configure 
[root&linuxprobe libmcrypt-2.5.8]£t make 

[root&linuxprobe libmcrypt-2.5.8]4 make install 

安装 libvpx 视频 编码 恬 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe libmcrypt-2.5.8|# cd /usr/local/src 
[root@linuxprobe src|# tar xjvf libvpx-v1.3.0.tar.bz2 
[root&linuxprobe src|# cd libvpx-v1.3.0 

[root&linuxprobe libvpx-v1.3.0|# ./configure --prefix=/usr/local/libvpx --enable-shared --enable-vp9 
[root&linuxprobe libvpx-v1.3.0]# make 

[root&linuxprobe libvpx-v1.3.0]* make install 

安装 Tiff 标签 图 像 文件 格式 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe libvpx-v1.3.0]* cd /usr/local/src 
[root&linuxprobe src|# tar zxvf tiff-4.0.3.tar.gz 
[root&linuxprobe src|# cd tiff-4.0.3 

[root&linuxprobe tiff-4.0.3]# ./configure --prefix-/usr/local/tiff --enable-shared 
[root&linuxprobe tiff-4.0.3]# make 

[root&linuxprobe tiff-4.0.3]* make install 

安装 libpng EA (png 格式 ) 函数 库 (解压 与 编译 过 程 已 省 略 ) : 
[root&linuxprobe tiff-4.0.3]4 cd /usr/local/src 
[root&linuxprobe src|# tar zxvf libpng-1.6.12.tar.gz 
[root&linuxprobe src|# cd libpng-1.6.12 

[root&linuxprobe libpng-1.6.12]4 ./configure --prefix-/usr/local/libpng --enable-shared 
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[root@linuxprobe libpng-1.6.12]# make 
[root@linuxprobe libpng-1.6.12]# make install 
Zk freetype 字体 引擎 〈 解 压 与 编译 过 程 已 省略 ) : 
[root@linuxprobe libpng-1.6.12]4 cd /usr/local/src 
[root&linuxprobe src|# tar zxvf freetype-2.5.3.tar.gz 
[root&linuxprobe src|# cd freetype-2.5.3 
[root&linuxprobe freetype-2.5.3]*t /configure -prefix-/usr/local/freetype --enable-shared 
[root&linuxprobe freetype-2.5.3]st make 
[root&linuxprobe freetype-2.5.3]* make install 
安装 libpng E Gpeg 格式 ) 函数 库 (解压 与 编译 过 程 已 省 略 ) : 
[root&linuxprobe freetype-2.5.3|# cd /usr/local/src 
[root&linuxprobe src|# tar zxvf jpegsrc.v9a.tar.gz 
[root&linuxprobe src|# cd jpeg-9a 
[root&linuxprobe jpeg-9a]* ./configure --prefix-/usr/local/jpeg --enable-shared 
[root&linuxprobe jpeg-9al# make 
[root&linuxprobe jpeg-9al# make install 
XX libgd 图 像 处 理 程序 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe jpeg-9al# cd /usr/local/src 
[root@linuxprobe src|# tar zxvf libgd-2.1.0.tar.gz 
[root&linuxprobe src]|£ cd libgd-2.1.0 
[root&linuxprobe libgd-2.1.0]4* ./configure --prefix-/usr/local/libgd --enable-shared --with-jpeg-/usr/local/jpeg -- 
with-png-/usr/local/libpng — --with-freetype-/usr/local/freetype —--with-fontconfig-/usr/local/freetype  --with- 
xpm-/usr/ --with-tiffz/usr/local/tiff --with-vpx-/usr/local/libvpx 
[root&linuxprobe libgd-2.1.0| make 
[root&linuxprobe libgd-2.1.0|# make install 
安装 tllib 图 片 生 成 函数 库 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe cd libgd-2.1.0]|* cd /usr/local/src 
[root@linuxprobe src|# tar zxvf t1lib-5.1.2.tar.gz 
[rootelinuxprobe src|# cd t11ib-5.1.2 
[root&linuxprobe t11ib-5.1.2]4 ./configure --prefix-/usr/local/t1lib --enable-shared 
[rootelinuxprobe t11ib-5.1.2] make 
[rootelinuxprobe t11ib-5.1.2] f make install 
将 函数 库 文 件 放 至 合适 的 位 置 : 
[rootelinuxprobe t11ib-5.1.2]|* cd /usr/local/src 
[root&linuxprobe src|# In -s /usr/lib64/libltdl.so /usr/lib/libltdl.so 
[rootelinuxprobe src]|4 cp -frp /usr/lib64/libXpm.so* /usr/lib/ 
SCR php 服务 程序 〈 命 令 比 较 长 ， 请 一 定 要 复制 完整 1 : 
[root@linuxprobe src|# tar -zvxf php-5.5.14.tar.gz 





[root@linuxprobe src|# cd php-5.5.14 

[root@linuxprobe php-5.5.14]£ export LD LIBRARY PATH-/usr/local/libgd/lib 

[rootelinuxprobe php-5.5.14]4 configure -prefix-/usr/local/php --with-config-file-path-/usr/local/php/etc --with- 
mysql-/usr/local/mysql --with-mysgli-/usr/local/mysql/bin/mysql config --with-mysql-sock-/tmp/mysql.sock -- 
with-pdo-mysql-/usr/local/mysql -with-gd --with-png-dir-/usr/local/libpng --with-jpeg-dir-/usr/local/jpeg --with- 
freetype-dir-/usr/local/freetype --with-xpm-dir-/usr/ --with-vpx-dir-/usr/local/libvpx/ --with-zlib-dirz/usr/local/zlib 
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--with-t 1 lib=/usr/local/t1lib --with-iconv --enable-libxml --enable-xml --enable-bcmath --enable-shmop --enable- 
sysvsem --enable-inline-optimization --enable-opcache --enable-mbregex --enable-fpm --enable-mbstring --enable-ftp -- 
enable-gd-native-ttf --with-openssl --enable-pcntl --enable-sockets --with-xmlrpc --enable-zip --enable-soap --without- 
pear --with-gettext --enable-session --with-mcrypt --with-curl --enable-ctype 
[root&linuxprobe php-5.5.14]£ make 
[rootelinuxprobe php-5.5.14]f£ make install 
复制 php 服务 程序 的 配置 文件 到 安装 目录 : 
[rootelinuxprobe php-5.5.14]* cp php.ini-production /usr/local/php/etc/php.ini 
删除 默认 的 php 配置 文件 : 
[root@linuxprobe php-5.5.14]4 rm -rf /etc/php.ini 
创建 php 配置 文件 的 软 连接 到 /etc/ 目 录 中 : 
[root@linuxprobe php-5.5.14]|7 cp /usr/local/php/etc/php-fpm.conf.default /usr/local/php/etc/php-fpm.conf 
[root&linuxprobe php-5.5.14]7 In -s /usr/local/php/etc/php-fpm.conf /etc/php-fpm.conf 
[root&elinuxprobe php-5.5.14]7 In -s /usr/local/php/etc/php.ini /etc/php.ini 
编辑 php 服务 程序 的 配置 文件 : 
[root@linuxprobe php-5.5.14|# vim /usr/local/php/etc/php-fpm.conf 
// 将 第 25 行 参 数 前 面 的 分 号 去 挥 。 
pid = run/php-fpm.pid 
// 修 改 第 148 和 149 行 ， 将 user 与 group 修改 为 www. 
user = WWW 
group = WWW 
添加 php-fpm 服务 程序 到 开机 局 动 项 : 
[root@linuxprobe php-5.5.14]* cp sapi/fpm/init.d.php-fpm /etc/rc.d/init.d/php-fpm 
[rootelinuxprobe php-5.5.14]|* chmod +x /etc/rc.d/init.d/php-fpm 
[root&linuxprobe php-5.5.14]4 chkconfig php-fpm on 
为 了 保障 网 站 的 安全 性 ， 蔡 用 看 不 安全 的 功能 : 
[rootelinuxprobe php-5.5.14]* vim /usr/local/php/etc/php.ini 
// 修 改 第 305 行 的 disable functions 参数 ， 追 加 参数 为 : 
disable_functions = 
passthru,exec,system,chroot,scandir,chgrp,chown,shell exec,proc open,proc get statusjni alterni alterini resto 
re,dl,openlog,syslog,readlink,symlink,popepassthru,stream socket. server,escapeshellcmd,dllpopen,disk free spa 
ce,checkdnsrr,checkdnsrr,getservbyname,getservbyport,disk total space,posix ctermid,posix get last error,posix 
 getcwd,posix getegid,posix geteuid,posix getgid,posix getgrgid,posix getgrnam,posix getgroups,posix getlogin 
,posix. getpgid,posix getpgrp,posix getpid,posix getppid,posix getpwnam,posix getpwuid,posix getrlimit;posix g 
etsid,posix getuid,posix isatty,posix kill,posix mkfifo,posix setegid,posix seteuid,posix setgid,posix setpgid,posi 
x setsid,posix setuid,posix strerror,posix times,posix ttyname,posix uname 
配置 nginx 服务 程序 支持 php: 
[root@linuxprobe php-5.5.14]s vim /usr/local/nginx/conf/nginx.conf 
// 将 第 2 LR TL E HE OCIO user www WWW ; 
// 将 第 44 行 参 数 修改 为 index index.html index.htm index.php: 
// 将 第 64-71 行 前 面 的 # 号 去 掉 ， 修 改 为 : 
location ~ \.php$ { 
root html: 
fastcgi_pass 127.0.0.1:9000; 
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fastcgi index index.php; 
fastcgi param | SCRIPT. FILENAME $document  root$fastcgi script name; 
include fastcgi params; 
j 
重启 nginx 5 php-fpm 服务 程序 : 
[root@linuxprobe php-5.5.14|# Systemctl restart nginx 
[root@linuxprobe php-5.5.14]4 Systemctl restart php-fpm 


20.3 搭建 discuz 论坛 


将 discuz 论坛 数据 放 至 网 站 目录 (解压 过 程 已 省 略 ) : 

[root@linuxprobe ~ |* cd /usr/local/src/ 

[root@linuxprobe src|4 unzip Discuz X3.2 SC GBK zip 

[root&linuxprobe src|# rm -rf /usr/local/nginx/html/tindex.html, 5Ox.htmlj 
[root&linuxprobe src|# mv upload/* /usr/local/nginx/html/ 
[root&linuxprobe src|# chown -Rf www:www /usr/local/nginx/html 


[root&linuxprobe src|# chmod -Rf 755 /usr/local/nginx/html 


第 1 步 ， 接 受 许 可 协议 : 
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第 3 步 ， 选 择 全 新 安装 discuzX 论坛 : 
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第 4 步 ， 填 写 数据 库 与 论坛 管理 员 信息 : 
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第 5 步 ， 等 待 安装 完毕 : 
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第 6 F, discuz 论坛 顺利 安装 完毕 : 
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第 7 步 ， 访 问 论坛 主页 面 : 


第 298 


=H 


人 


(Linux 就 该 这 么 学 》 


We :powered ty Oke > 


HTTP://www.linuxprobe.com 





€ 5 CŒ :'1921681010/fonum.phr 


DIME uiv 
V5 社区 动力 mse | cien Hag 
DISCUZ! zs | oR | amm 
帖子 ~ a" Md nib ZE chxur 
£u 
moo i T Pc 
Inna 
TRE ue 
在 本 合流 -0 Adi - 自 会 员 (0 AWO, O NNE - EET O H 2015-11-15. 
Grua Hansi Ne REL 
RC SET AEERER SG n 
[o pie 
a tH 020-21 HE CST MSOPSEY 
nen amie en zm 
Vence by Duscuat x eum FAE ATO Coesen2 inc Q3 
f: 2021 2013 Cerrecez Inc iM- 1 Vot ien 151 


19 n ono, 5 epos 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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